News Black Hat 2015: Weitere Sicherheitslücke in Android vorgestellt

[fethomm]

Die Nachrichten über gefährliche Lücken in Android reißen nicht ab. Auf Stagefright folgt nun Certifi-Gate, das jetzt auf der Black Hat 2015 publik gemacht wurde. Diese Lücke betrifft hauptsächlich Apps zur Kontrolle entfernter Rechner wie TeamViewer und ähnliche.

Zur News: Black Hat 2015: Weitere Sicherheitslücke in Android vorgestellt

 

[Kingfisher OK]

Und selbst wenn es ein Sicherheitsupdate gibt. Es müsste dann für ungefähr 24,093 unterschiedliche Geräte ausgerollt werden...

Quelle: http://opensignal.com/reports/2015/08/android-fragmentation/

Ich bereue meinen Wechsel auf Windows Phone nicht.

 

[XimeX]

Was hier immer gerne etwas verschwiegen wird:
Es sind nicht wirklich 24.000 verschiedene Geräte! Aber 24.000 verschieden Konfigurationen.

Gibt es also einen Nexus 4 user mit Android 5.0 und einen mit 5.1 und einen mit CyanogenMod 11 und einen mit CM 12 sind das schon 4 verschiedene Konfigurationen

Edit: zumindest hab ich das so wo gelesen.

 

[Raucherdackel!]

ob Geräte oder Konfigurationen, ist in diesem Fall egal.

 

[Desert2k]

Hmmm, ob das auch die VNC Viewer einschließt?

 

[Vasilev]

Wer was finden will, findet IMMER eine Lücke oder Möglichkeit... sei es Android, Apple iOS oder Windows Phone

 

[Jesterfox]

Ich bereue meinen Wechsel auf Windows Phone nicht.

Bei dem was momentan alles bekannt wird bin ich eigentlich auch ganz froh mir ein Lumia 730 geholt zu haben. Denn ich glaub mal nicht das mein altes Xperia U von Sony noch ein Update bekommen wird und das Cyanogen Mod 11 lief einfach nicht stabil. Ein Phone bei dem man nicht mal Telefongespräche annehmen kann weil ständig was abstürzt ist wertlos. Und das original System von Sony war extrem träge und wird wohl diese aktuellen Lücken auch nie gefixt bekommen... schade das ich WP nicht aufs Xperia U installieren kann. Denn das Gerät an sich ist super.

 

[Agba]

Darf ich mal was fragen, ist dies nicht gerade der vorteil von Android? Es ist open Source, womit man den Quellcode recht einfach einsehen kann und dementspechend auch lücken aufdecken kann.

Bei IOS und WP hingegen, wer weiß was da so alles noch offen ist... oder irre ich mich da?

 

[Jesterfox]

Einerseits ja, aber das bringt nur was wenn die Lücken auch gefixt und Updates für die Geräte bereitgestellt werden.

 

[kayD]

Ist logisch dass man Android anvisiert, ist ja auch das System mit der größten Reichweite für üble Machenschaften. Bei WP würde man bei den wenigen Usern wahrscheinlich nichtmal Wind davon bekommen, weil es zu wenige betreffen würde.

Ich merke von keinen Sicherheitslücken auch nur irgendwie etwas, hab ich noch nie, werd ich wohl auch nie. Kenne niemanden mit Problemen betreffend Sicherheit, hab auch noch nie von irgendjemanden gehört dass er Probleme hätte - aber existieren soll es da draußen irgendwo ( angeblich ). Mehr als ein uninteressantes Retrofetischisten-Argument ist das nicht. Aber Sommerlöcher gehören gestopft.

Werd mit dem Lumia noch auf W10 warten aber falls der einzig richtige Pluspunkt, nämlich die Here Karten, von der Bildoberfläche verschwindet, dann schmeiß ich dieses Gerät wieder am Markt. Sogar alte Androiden haben einen größeren Funktionsumfang als das Lumia und daran scheitert es. Bluetooth Connectivity miserabel, nahezu jede App ist Android 2012 Niveau und der Support ist zwar gut aber nur First Party.

Solang Here Karten da sind, geht ein Lumia als gutes Navigationsgerät durch....wenn die weg sind, Briefbeschwerer vll.?

 

[Bigfoot29]

@Jesterfox: Jein... es gibt immerhin Alternative ROM-Anbieter. Durch CM und Co hat man den Herstellern immerhin etwas Feuer unter dem Hintern machen können so nach dem Motto: "Warum bekommt IHR das nicht hin, obwohl ich 600 Euro für mein Telefon ausgegeben habe?!".

Samsung und Co sind alles andere als glücklich, überhaupt ein Update bereitstellen zu müssen. Sinkt damit doch die Wahrscheinlichkeit, dass sich der Käufer bald ein neues Gerät kauft, weil das alte "langsam und unsicher" geworden ist. Mittlerweilen zeigen CM und Co aber: Hersteller, wenn IHR keine Updates mehr liefert, nutze ich jetzt eben noch CM, solange das Telefon läuft und such mir anschließend einen Hersteller, bei dem ich auch ordentlichen Software-Support bekomme.

Unabhängig davon ist das Update-Problem aber hausgemacht. Hätte man bei Android auf das Linux-typische Modular-System gesetzt, wären Sicherheitsupdates, die keine funktionalen Änderungen (die also API/ABI-konform sind) an Kernel oder systemnahen Bibliotheken liefern, binnen von Tagen lieferbar. Debian beweist das, indem selbst Jahre alte Pakete noch mit reinen Sicherheitsfixes versorgt werden können.

Aber dann gäbe es ja überhaupt keinen Grund mehr, "upzugraden", solange die Hardware läuft... :/

Regards, Bigfoot29

 

[Jesterfox]

Leider lief auf meinem Handy CM nicht stabil... war somit auch zum Hardware-Upgrade gezwungen. Ist aber eben ein Lumia geworden, da hat jetzt Sony auch wenig davon ;-)

 

[Cokocool]

Und selbst wenn es ein Sicherheitsupdate gibt. Es müsste dann für ungefähr 24,093 unterschiedliche Geräte ausgerollt werden...

Ich bereue meinen Wechsel auf Windows Phone nicht.

Das nächste mal vorher die News lesen und verstehen.... Es sind nicht alle Geräte von deinen angeblichen 24k betroffen

 

[Grimba]

Ich merke von keinen Sicherheitslücken auch nur irgendwie etwas, hab ich noch nie, werd ich wohl auch nie. Kenne niemanden mit Problemen betreffend Sicherheit, hab auch noch nie von irgendjemanden gehört dass er Probleme hätte - aber existieren soll es da draußen irgendwo ( angeblich ). Mehr als ein uninteressantes Retrofetischisten-Argument ist das nicht. Aber Sommerlöcher gehören gestopft.

Das ist ja auch nicht gerade der vorrangige Sinn einer Malware, dass du etwas davon bemerkst was vor sich geht.

 

[onkel_axel]

im westen nichts neues

 

[CueSystem]

Android hat sicherlich Vorteile, aber natürlich, wie alles Andere auch, Nachteile.
Und der entscheidende Faktor ist und bleibt die Sicherheit. Was nützt es, custom Roms aufzuspielen ? Was nützt es, root-Zugriff zu haben ? Klar, Bastler und kiddis fühlen sich da gut aufgehoben. Nur muss man sich dann eben nicht wundern, wenn wieder eine Lücke aufgedeckt wurde.
Und an die, die Windows Phone belächeln :
Es wurde bis heute nicht geknackt. Den Interopt-Lock, den XDA Developers vollbracht hat, bezieht sich nur auf Samsung Geräte und auch nur auf das Aufspielen von Apps, welche nicht aus dem Store kommen. Das Gerät wird in eine Art Entwicklermodus geschaltet. Das ist die einzige Lücke, welche MS auch schon Schloss und welche keinen Root-Zugriff oder sonstige tiefgreifende Möglichkeiten gestattet.
Insofern hab ich lieber eine schnelles, schlankes und sicheres System, als mich mit einem Android-Phone rumschlagen zu müssen, wo ich erst mal ein Stock flashen muss um die völlig überladene Oberfläche zu entschlacken ( Ausnahme Sony).
Open source ich wichtig und toll, aber man sieht bei Android, was durch die schon lang anhaltende Fragmentierung eher schlecht läuft.

 

[CvH]

Und selbst wenn es ein Sicherheitsupdate gibt. Es müsste dann für ungefähr 24,093 unterschiedliche Geräte ausgerollt werden...

Nur mal als erinnerung, klappt bei Windows/Linux mit noch viel mehr Typen auch problemlos

 

[Brandkanne]

Und das (speziell diese Lücke/Angriffsweise) betrifft jetzt auch nur Android? TeamViewer z. B. gibt es ja auch für WindowsPhone und sicherlich auch für iOS und die Funktionsweise (inkl. der nötigen Rechte) ist doch wahrscheinlich sehr ähnlich gestrickt. Oder wodurch wird der Umstand bei diesen Systemen entschärft?

 

[CueSystem]

Und das (speziell diese Lücke/Angriffsweise) betrifft jetzt auch nur Android? TeamViewer z. B. gibt es ja auch für WindowsPhone und sicherlich auch für iOS und die Funktionsweise (inkl. der nötigen Rechte) ist doch wahrscheinlich sehr ähnlich gestrickt. Oder wodurch wird der Umstand bei diesen Systemen entschärft?

Bei Windows Phone gibt es keine Rechte für Apps. Alles läuft über Hal's. Lässt Du ein PDF-Dokument herunter wirst du gefragt, mit welcher App Du diese öffnen möchtest. Hast Du dich für App A entschieden, kannst Du das nachträglich nicht mehr zu App B ändern. Das PDF liegt dann immer im selben geschützten Speicher der App. Was mich nur aufregt ist, dass man so sehr eingeschränkt wird.

 

[dgschrei]

Nur mal als erinnerung, klappt bei Windows/Linux mit noch viel mehr Typen auch problemlos

Und warum? Weil genau wie bei Windows Phone, bei Windows eben auch Microsoft die Updates verteilt und bestimmt wann die Nutzer das update bekommen.

Es ist mir nach wie vor unbegreiflich was Google damals geritten hat, die Verteilung der Updates den Hardwareherstellern zu überlassen. Jeder andere Softwarekonzern verteilt seine Updates selbst an die Kunden. Unter anderem eben weil das der einzige Weg ist, das zeitnah zu erledigen. Von dem Interessenskonflikt bei den Hardwareherstellern mal ganz abgesehen. Warum sollte Samsung möglichst viele Updates bereitstellen? Mit jedem Update nimmt man dem Kunden doch nur ein Argument sich wieder ein neues Smartphone zu kaufen.

@bub24
Stimmt so nicht ganz. Es gibt in Winphone durchaus auch einen gemeinsamen Speicher, aber die Apps haben eben erst mal grundsätzlich keine Möglichkeit an Root Rechte zu kommen. Jede App läuft in ihrer eigenen Sandbox und weiß erst mal gar nichts vom System. Es gibt dann APIs mit denen die Apps die für sie notwendigen Informationen abgreifen können. Will man nun etwas ansteuern, wie z.b. die LED der kamera, dann geht das auch nur wieder über die API. Sprich die App kann dann sagen: "ich würde gerne die LED einschalten." Die Entscheidung ob das aber wirklich passiert, liegt komplett beim System.

Das schränkt die Apps natürlich in einer gewissen weise ein. Die Apps können halt nichts mit der Hardware des Handys machen, wofür nicht eine API von MS da ist, die das vorsieht, führt aber halt auch dazu dass es so gut wie ausgeschlossen ist (Implementierungsfehler gibt's immer) dass eine App sich so was ähnliches wie Root Rechte für das Gerät schnappen kann, weil es aus ihrer Sicht einfach kein Gerät gibt.