News Black Hat 2015: Weitere Sicherheitslücke in Android vorgestellt

[BoB DeR BaeR]

Und warum? Weil genau wie bei Windows Phone, bei Windows eben auch die Updates verteilt und bestimmt wann die Nutzer das update bekommen.

Es ist mir nach wie vor unbegreiflich was Google damals geritten hat, die Verteilung der Updates den Hardwareherstellern zu überlassen. Jeder andere Softwarekonzern verteilt seine Updates selbst an die Kunden. Unter anderem eben weil das der einzige Weg ist, das zeitnah zu erledigen. Von dem Interessenskonflikt bei den Hardwareherstellern mal ganz abgesehen. Warum sollte Samsung möglichst viele Updates bereitstellen? Mit jedem Update nimmt man dem Kunden doch nur ein Argument sich wieder ein neues Smartphone zu kaufen.

Ganz ehrlich mehrfach lese ich dieses Argument hier aber ich verstehe es nicht. Warum sollte jemand sich ein neues Android Handy kaufen wenn sein altes unsicher ist? Das löst das Problem ja nur temporär... Die Hersteller wäre also gut beraten das Vertrauen in Android mit Sicherheitsupdates aufrecht zu erhalten sonst kauft das in Zukunft keiner mehr

 

[CueSystem]

Und warum? Weil genau wie bei Windows Phone, bei Windows eben auch Microsoft die Updates verteilt und bestimmt wann die Nutzer das update bekommen.

Es ist mir nach wie vor unbegreiflich was Google damals geritten hat, die Verteilung der Updates den Hardwareherstellern zu überlassen. Jeder andere Softwarekonzern verteilt seine Updates selbst an die Kunden. Unter anderem eben weil das der einzige Weg ist, das zeitnah zu erledigen. Von dem Interessenskonflikt bei den Hardwareherstellern mal ganz abgesehen. Warum sollte Samsung möglichst viele Updates bereitstellen? Mit jedem Update nimmt man dem Kunden doch nur ein Argument sich wieder ein neues Smartphone zu kaufen.

@bub24
Stimmt so nicht ganz. Es gibt in Winphone durchaus auch einen gemeinsamen Speicher, aber die Apps haben eben erst mal grundsätzlich keine Möglichkeit an Root Rechte zu kommen. Jede App läuft in ihrer eigenen Sandbox und weiß erst mal gar nichts vom System. Es gibt dann APIs mit denen die Apps die für sie notwendigen Informationen abgreifen können. Will man nun etwas ansteuern, wie z.b. die LED der kamera, dann geht das auch nur wieder über die API. Sprich die App kann dann sagen: "ich würde gerne die LED einschalten." Die Entscheidung ob das aber wirklich passiert, liegt komplett beim System.

Das schränkt die Apps natürlich in einer gewissen weise ein. Die Apps können halt nichts mit der Hardware des Handys machen, wofür nicht eine API von MS da ist, die das vorsieht, führt aber halt auch dazu dass es so gut wie ausgeschlossen ist (Implementierungsfehler gibt's immer) dass eine App sich so was ähnliches wie Root Rechte für das Gerät schnappen kann, weil es aus ihrer Sicht einfach kein Gerät gibt.

@dgschrei

Danke für die korrekte und vollständige Ausführung.
Meine war wohl etwas kurz und unglücklich formuliert. Mein PDF-Beispiel wurde nicht fertig ausgeführt.

 

[Atiist]

Scheinbar bewegt sich etwas. Zumindest wenn es nicht bei Ankündigungen bleibt.

Die Stagefright-Lücke sorgte für Aufsehen bei Android-Nutzern und auch den Herstellern. Google und Samsung kündigten bereits an, monatlich Sicherheits-Updates auszuliefern. Hier reiht sich nun auch LG ein. LG möchte ebenfalls monatlich Sicherheitsupdates bereitstellen, die dann sofort von den Netzbetreibern ausgeliefert werden können. Das erklärte LG in einer E-Mail an Wire:

http://stadt-bremerhaven.de/dank-stagefright-lg-sicherheitsupdates/

 

[FranzvonAssisi]

Solang Here Karten da sind, geht ein Lumia als gutes Navigationsgerät durch....wenn die weg sind, Briefbeschwerer vll.?

Die Karten von Windows Phone sind zumindest alle von Here (schau mal bei Win 10 "offlinekarten" ganz unten )

 

[Venom54]

Zurzeit ist es nichtmehr schön was es an sicherheitslücken bei Android gibt

 

[Gohst]

Android und iOS sind die besten Gründe für Windows Phone.

Entwickler müssen über ein enormes KnowHow verfügen um etwas wie ein ganzes Betriebssystem auf die Beine zu stellen. Android war einst als Projekt von freiwilligen bei Google gestartet, und schlussendlich von vielen talentierten Programmiereren fertig gebaut und erweitert worden.

Jedoch kann man nicht behaupten dass es so gründlich und kontrolliert entwickelt wurde wie andere, etablierte Software von "wichtigen"* Unternehmen. Sonst hätte man den Punkt ICT-Security nie so sträflich vernachlässigt.

Ich bin überzeugt dass der Schwerpunkt von Windows Phone schon früh auch auf Sicherheit lastete.

Bei Android und iOS ist da definitiv was schief gegangen.
Ich denke nicht nur die Verbreitung alleine macht Android so "interessant" für Hacker.
Als hätte noch kein Mensch versucht ein Windows Phone zu knacken....

*Softwaregrössen aus dem Unternehmerbereich

 

[Brötchenesser]

Bei dem was momentan alles bekannt wird bin ich eigentlich auch ganz froh mir ein Lumia 730 geholt zu haben. Denn ich glaub mal nicht das mein altes Xperia U von Sony noch ein Update bekommen wird und das Cyanogen Mod 11 lief einfach nicht stabil. Ein Phone bei dem man nicht mal Telefongespräche annehmen kann weil ständig was abstürzt ist wertlos. Und das original System von Sony war extrem träge und wird wohl diese aktuellen Lücken auch nie gefixt bekommen... schade das ich WP nicht aufs Xperia U installieren kann. Denn das Gerät an sich ist super.

ich bin auch froh..von Android gewechselt zu haben..auf Lumia...jetz warte ich auf Windows 10..was ja im Herbst erscheinen soll

 

[Fragger911]

Black Hat... ...jedes Jahr für ein weiteres Kapitel aus dem IT-Horrorladen gut.
Aber auch das ist Fortschritt und man lernt hoffentlich für die Zukunft aus den begangenen Designfehlern. Danke, weitermachen!

Wenn man die kriminelle Energie hinter all diesen Angriffen (imho, die wenigsten wollen nur Fehler finden, die meisten wollen sie für den eigenen Vorteil ausnutzen) nutzbar machen könnte, bspw um die Daten und Geheimnisse von NSA, GCHQ, BND, Russland, China etc offen zu legen. Wir wären um einige der wichtigsten Erkenntnisse reicher:
- was hatte die Besatzung des Wetterballons von Roswell zum Fühstück
- waren Stalins Unterhosen wirklich rot
- wieviele Nazis (weiblich, 25-35Jahre alt, attraktiv, ledig) gibts es derzeit auf der Rückseite unseres Mondes
- wie kommt Scheiße auf's Dach

 

[Garack]

Hey , ihr beiden bub24 und degeschrei kennt euch ja gut aus. Ich suche Infos zum Thema Windows Phone Sicherheit. Kennt jemand Seiten wo ich mich informieren kann?

 

[Venom54]

sicherheit auf welchen bezug ?

 

[Garack]

Warum Windows Phone sicherer ist als z.b Android . Was für Features an Sicherheit sind vorhanden.

 

[CueSystem]

Hey , ihr beiden bub24 und degeschrei kennt euch ja gut aus. Ich suche Infos zum Thema Windows Phone Sicherheit. Kennt jemand Seiten wo ich mich informieren kann?

Ich kann dir Wparea.de ans Herz legen.

Ergänzung (7. August 2015)

Warum Windows Phone sicherer ist als z.b Android . Was für Features an Sicherheit sind vorhanden.

Es gibt keinen Root-Zugriff.
Alle Apps haben ihren eigenen geschützten Speicherbereich. Es gibt daher auch nicht die Rechteverwaltung, wie man sie von Android kennt. Es gibt einen Dateimanager, der aber nur den gemeinsam verwalteten, nutzbaren Speicher anzeigt. Kein offener Bootloader. Installieren von Schadsoftware nicht möglich, da wie schon geschrieben, keine Rechte vorhanden sind. Alles läuft über Hal's und Api's.

 

[xxxx]

Und wieder eine Sicherheitslücke naja da trennt sich ganz schnell die Spreu vom Weizen eigentlich müsste man die Hersteller gesetzlich dazu verdonnern die Möglichkeit Custom Roms zu installieren ohne Garantieverlust an zu bieten. Den die Custom Roms sind meist besser abgesichert als die Hersteller Roms erst gestern wieder beim Htc One M9 gesehen die aktuelle Version vom Htc Rom enthielt den Stagefright Bug das darauf basierende Custom Rom enthält ihn nicht, da kann man echt nichts mehr dazu sagen.

 

[Mäuschen]

Verstehe ich es richtig, dass durch Deinstallieren von den vorinstallierten Remote-Apps die Sicherheitslücke ein Stück weit eingeschränkt werden könnte?
Der Nutzer hat natürlich keine Rechte vorinstallierte Apps zu löschen auf seinem eigenen Gerät, was bei manchen Apps ja Sinn macht, aber nicht bei allen.
@Windows-Fraktion;-)
Wenn ich es mit der Rechteverwaltung richtig verstehe müsste bei WinPhone prinzipbedingt eine Firewall möglich sein. So wie bei iOS oder Android M, wo man den Apps Zugriff auf das Internet verbieten kann. Gitb es das schon oder ist sowas in Planung. Wenn ja wäre das für mich ein guter Grund das Lumia 950 genauer anzuschauen.

 

[CueSystem]

Verstehe ich es richtig, dass durch Deinstallieren von den vorinstallierten Remote-Apps die Sicherheitslücke ein Stück weit eingeschränkt werden könnte?
Der Nutzer hat natürlich keine Rechte vorinstallierte Apps zu löschen auf seinem eigenen Gerät, was bei manchen Apps ja Sinn macht, aber nicht bei allen.
@Windows-Fraktion;-)
Wenn ich es mit der Rechteverwaltung richtig verstehe müsste bei WinPhone prinzipbedingt eine Firewall möglich sein. So wie bei iOS oder Android M, wo man den Apps Zugriff auf das Internet verbieten kann. Gitb es das schon oder ist sowas in Planung. Wenn ja wäre das für mich ein guter Grund das Lumia 950 genauer anzuschauen.

Es gibt in sofern eine Art von Firewall, als das man Apps gestatten darf, im Hintergrund zu laufen, oder nicht. Dies gilt auch bei aktiviertem Energiesparmodus.

Ergänzung (7. August 2015)

Es gibt in sofern eine Art von Firewall, als das man Apps gestatten darf, im Hintergrund zu laufen, oder nicht. Dies gilt auch bei aktiviertem Energiesparmodus.

Mann kann den Apps ebenso verbieten, die Position zu nutzen oder zu senden.
Und wenn mann ein monatliches Datenvolumelimit angibt, kann mann sogar den Hintergrundverkehr ins Netzt gänzlich einschränken. Gilt natürlich nur für Apps, da man an's / in's eigentliche System nicht reinkommt.

 

[cbtestarossa]

Android und iOS sind die besten Gründe für Windows Phone.
]

ne eher für ubuntu phone
und datt och nur auf open source hardware

 

[gomi]

Werd mit dem Lumia noch auf W10 warten aber falls der einzig richtige Pluspunkt, nämlich die Here Karten, von der Bildoberfläche verschwindet, dann schmeiß ich dieses Gerät wieder am Markt.

Mag schon sein, dass die HERE Apps wegfallen, aber die Karten darf Microsoft ja weiter nutzen. Unter Windows 10 (auch auf Phone) gibt's von Microsoft die Karten APP die gleichzeitig die HERE Drive und HERE Maps APPs ersetzt und dabei auch noch weniger Akku verbrauch. Kann man sich auch unter Windows 10 schon ansehen, wer es installiert hat.

 

[JamesFunk]

Wie kann diese Lücke ausgenutzt werden?

Muss man dafür dubiose Apps installieren, reicht das Öffnen einer Anhangs oder pures Surfen auf falschen Seiten?

 

[Agba]

@CB vielleicht nur eine Idee, aber wie wäre es mal mit einem Artikel zur generellen Sicherheit unter Abdroid, Ios, WP wie die einzelnen Schutzmaßnahmen aufgebaut sind und ob diesbezüglich open source als Vorteil zählt und derleid Dinge.

Ich finde derartiges äußerst interessant und ein Artikel oder eine kleine Reihe, der\ die auch ruhig ins technische Detail geht würde mich wirklich interessieren.

Liebe grüße

 

[riDDi]

Es gibt keinen Root-Zugriff.
Alle Apps haben ihren eigenen geschützten Speicherbereich. Es gibt daher auch nicht die Rechteverwaltung, wie man sie von Android kennt. Es gibt einen Dateimanager, der aber nur den gemeinsam verwalteten, nutzbaren Speicher anzeigt. Kein offener Bootloader. Installieren von Schadsoftware nicht möglich, da wie schon geschrieben, keine Rechte vorhanden sind. Alles läuft über Hal's und Api's.

Was du schreibst ist für WP zwar nicht falsch, aber:

• Kein Android-Gerät wird ab Werk mit Root-Zugriff für den User-Apps ausgeliefert. System-Apps können mit Root-Rechten ausgestattet sein, brauchen das aber fast nie. Nur für Funktionen, die das Android-Framework nicht bereitstellt wird Root benötigt. Das ist mit WP vergleichbar, nur dass man dort meine Wissens dann eben keine Apps bauen kann, die über die vorgesehene Funktionalität herausgehen. Das ganze Root-System ist dank SE-Linux prinzipiell als bombensicher zu betrachten.
• Android-Apps können in internen und externen Speicher schreiben. Den internen Speicher können andere Apps nur mit Root-Rechten auslesen. D.h. auch der User nicht, nur die App selbst. Im externen Speicher sind erst nur die selbst geschriebenen Daten auslesbar, mit entsprechender Berechtigung dann alles. Der externe Speicher ist öffentlich. Apps, die dort ungeschützt sensible Informationen ablegen sollten nicht weiter benutzt werden.
• Kein Hersteller liefert Android-Geräte mit offenem Bootloader aus. Bei manchem gibt es lediglich die Möglichkeit ihn nachträglich zu öffnen. Ein offene Bootloader ist außerdem nur bei physischem Zugriff auf das Gerät interessant.
• Nur System-Apps können die Berechtigung zur Installation von Apps erhalten. Der User kann Sideloading aktivieren, was von einer ständig schärfer werdenden Warnung begleitet wird.

Ich wusste z.B. nicht, dass es überhaupt kein Rechtesystem in WP gibt. Heißt das einfach jede App kann auf Kamera, GPS, usw. zugreifen und ich erfahre davon bei der Installation nichts?