News Black Hat 2015: Weitere Sicherheitslücke in Android vorgestellt

[CueSystem]

Ein Rechtesystem ist vorhanden. Aber anders als bei Android. Hier läuft das über Hal's und Api's. Allerdings kann Hinz und Kunz nicht einfach eine App schreiben, da aufgespielte, bzw. Nicht Systemapps nicht untereinander kommunizieren können. Soll heißen, das ich eine einmal geöffnete PDF Datei nicht mit einer anderen öffnen, geschweigedenn die andere erstgenannte sehen kann. Das geht soweit, das jegliche Art von Kameraapps nur über eine Api und Hal Zugriff auf Kamerafunktionen haben. Es ist auch nicht möglich , Rootrechte für Apps zu vergeben, da die Möglichkeit nicht existent ist. Systemapps lassen sich öffnen, schließen oder manchmal auch deinstallieren. Viel Apps , die für Android angeboten werden, wären in ihrer ursprünglichen Funktionsweise unter Wp nicht lauffähig...leider

 

[Phneom]

Zum einen:

Von der Lücke betroffen sind unter anderem Geräte der Firmen HTC, LG, Samsung und ZTE.

Und zum anderem:
Ich könnte jetzt panisch schreiend durch die Gegend laufen nur weil es möglich ist aber ehrlich gesagt kratzt mich das nicht im geringstem.
Ich hatte noch nie einen Virus oder Malware auf meinem Handy, ok gut das K3 Note hatte die Shop Rom drauf und daher den ganzen Müll mit aber weder auf dem S2 noch auf dem K3(mit ner sauberen Stock Rom) und allen anderen Android Handys noch nie einen Virus gehabt.
Da können die sich alle auf den Kopf stellen aber solange Hardware mäßig das Handy läuft und nichts kaputt ist werde ich weder wechseln, verkaufen oder sonst was machen.
Bei dem Update Wahn mach ich nicht mehr mit und vertraue auf folgende Weisheit: never change a running System.
Iphone ist zu teuer, Windows Phone und dessen Ökosystem Müll und was bleibt? Android.
Sollte es mich trotz Werbeblocker, Spamfilter und Gehirn doch mal erwischen bügel ich die Rom einmal neu drüber und das wars. Passwörter sind auch alle schnell geändert.
Komischerweise hatte ich seit Jahren unter Windows noch unter Android Viren oder Malware und immer wenn ich neu aufgesetzt hatte lag das entweder daran das ich was an der Hardware verändert hatte oder irgendetwas am basteln war.
Ersteres war bei ner SSD der Fall(ja ich bilde mir ein das es dann sauberer läuft - steinigt mich ) und letzeres war zu XP Zeiten der Fall.

 

[CueSystem]

Jedes mobile Os hat seine Vor -und Nachteile. Aber zu behaupten :
Windows Phone und deren Ökosystem sind Müll, halte ich für ziemlich haltlos.
Ich bitte um echte Fakten.
Toleranz ist die Marmelade auf unserm täglich Brot.

 

[Kingfisher OK]

Nur mal als erinnerung, klappt bei Windows/Linux mit noch viel mehr Typen auch problemlos

Richtig, aber bei Android nicht. Weil jeder seine eigene Oberfläche draufklatscht und Anpassungen vornimmt.

 

[fethomm]

Artikel-Update: Wie TeamViewer in einer Pressemitteilung verlautbarte, haben die TeamViewer-Apps und deren AddOns bereits vor der Sicherheitskonferenz Black Hat ein Update erhalten, um auf die als Certifi-Gate bekannte Sicherheitslücke zu reagieren. Im Pressetext heißt es: „Die neue Version von TeamViewer QuickSupport für Android verfügt über einen verbesserten Sicherheitsmechanismus. Dieser Schutzmechanismus führt zu einer sichereren Kommunikation zwischen den internen App-Komponenten. Diese Verbesserung verhindert potentiellen Missbrauch der Anwendung sowie der AddOns auf betroffenen Geräten.“ Das Update wird bei den meisten Geräten automatisch installiert.

 

[UNDERESTIMATED]

Zurzeit ist es nichtmehr schön was es an sicherheitslücken bei Android gibt

Mach dir nix draus, die gibt es überall, nur kennt sie kaum einer. Von der Angst leben einige ganz gut

 

[iSight2TheBlind]

@das_mav
Du magst das gerade als Überreaktion der Medien darstellen, aber in den letzten Wochen kamen bei Android wirklich dicke Klopper raus.

HTC beispielsweise speicherte in dem One mit Fingerabdruckscanner den jeweils zuletzt gelesenen Fingerabdruck als Bilddatei in einem offen zugänglichen Speicherbereich.

Apple hat bei der Einführung von TouchID massiv auf den Deckel bekommen allein für die theoretische Möglichkeit, dass der Fingerabdruck vom Gerät gestohlen werden könnte (was bisher niemandem gelungen ist!), während bei den Androidbasierten Geräten mit Fingerabdruckscanner das Empörungsguthaben der Medien und Netzbevölkerung bereits aufgebraucht war und die Geräte und die Sicherheit ihrer Aufbewahrung des Fingerabdrucks nie hinterfragt wurden.
Die einzige Kritik dort war dann nur, dass die Fingerabdruckscanner im Vergleich zu TouchID regelrecht grottig funktionierten, sowohl von der Benutzbarkeit als auch von der Erkennungsrate.

Das wird nun völlig untergehen und lange nicht die Empörung hervorrufen, die es eigentlich verdient hätte.
Jede App auf dem Gerät hätte bei dem HTC One Max regelmäßig den zuletzt gescannten Fingerabdruck nach Hause telefonieren können!

 

[Hito]

Ich bereue meinen Wechsel auf Windows Phone nicht.

kommt noch. Wenn du Updates schnell brauchst, ist Microsoft eh die flasche Wahl, aber es gibt ja noch Nexus Geräte, die man nicht beim Anbieter holt und welche direkt von Google versorgt werden? IXUS? SEXI? Nein, Nexus ist der Name dieser Sorte von Smartphone

Auf der anderen Seite ist man mit CM auch sicherer unterwegs und erhält von dort ebenso alle Sicherheitsupdates und zwar schneller.



PS: hat sonst noch jemand eine Warnung bekommen wegen des Certifi-Gate Scanners?

 

[mon0]

@das_mav
Du magst das gerade als Überreaktion der Medien darstellen, aber in den letzten Wochen kamen bei Android wirklich dicke Klopper raus.

HTC beispielsweise speicherte in dem One mit Fingerabdruckscanner den jeweils zuletzt gelesenen Fingerabdruck als Bilddatei in einem offen zugänglichen Speicherbereich.

Das ist ein Implementierungsfehler von HTC und hat mit Android als System mal gar nichts zu tun. Das kann bei Apple natürlich nicht passieren, da kein Dritthersteller ein abgeändertes Modell mit verschiedenen Funktionen hat.
Es werden echte Android-Probleme immer mit Problemen der Dritthersteller vermischt und daraus falsche Schlüsse gezogen. Ein System, welches mehrere Hardwaremodelle und Aufsätze von Drittherstellern ermöglicht, hat immer mher Herausforderungen als ein zugenageltes System mit 2-3 Modellen, wo nur ein Hersteller die Soft- und Hardware umsetzt. Außerdem interessiert sich ein Hacker bei den lächerlichen Nutzerzahlen bei WP wohl kaum für SIcherheitslücken.

 

[Jesterfox]

Unter "Nexus" find ich nur uralt Kram und verkappte Tablets... bringt mir nix. CM lief auf meinem Xperia U auch nicht stabil, außerdem scheint es für CM11 auch immer noch kleinen Patch für die Lücke zu geben. Zumindest für das XPU wurde seit dem auch kein neues Image zur Verfügung gestellt.

Dann doch lieber das Lumia 730, auch wenns eigentlich auch schon fast n Tablet ist... aber die kleinen Lumias waren mir dann von der Hardware doch zu schlecht.

 

[iSight2TheBlind]

@mon0
Der Kunde kauft im Laden aber nicht "Android", in all seiner Makellosigkeit, hoher Geschwindigkeit und "Openness", sondern ein fertiges Produkt von Samsung, HTC, LG etc. in dem Android verwendet wird.

Alle Probleme die dabei auftreten sind sicherlich die Fehler des entsprechenden Herstellers, allerdings zeigen sie auch, dass Google es mit Android auf der Jagd nach einer höchstmöglichen Verbreitung völlig versäumt hat Mechanismen einzuführen, die verhindern dass Android in der Version die beim Käufer dann am Ende ankommt ein "Höllenpfuhl der Unsicherheit" wird.
Das fängt doch schon bei den fehlenden Updates an, die Google zwar bereitstellen kann, die dann aber noch von zig weiteren Ebenen durchgewunken werden müssen bevor sie beim Kunden ankommen.
Erst jetzt, wo drei dicke Dinger hintereinander kommen, verspricht Google zukünftig schnelle Updates bereitzustellen und die Hersteller stimmen mit ein.

Aber ob das am Ende wirklich passieren wird muss man auch noch abwarten, es gab ja bereits 2011 (oder so) die Android Update Alliance, die Updates für 18 Monate versprach und aus der absolut gar nichts wurde.

 

[crashbandicot]

Das fängt doch schon bei den fehlenden Updates an, die Google zwar bereitstellen kann, die dann aber noch von zig weiteren Ebenen durchgewunken werden müssen bevor sie beim Kunden ankommen.

Die müssen durchgewunken werden, weil Google gar nicht die Übersicht über alle Hardwarekonfigurationen und Oberflächenanpassungen der einzelnen Hersteller hat.
Deswegen ist Google auch nicht verantwortlich für die schlampige Verbreitung von Updates.

 

[iSight2TheBlind]

@crashbandicot
Du beschreibst da gerade, dass der Kammerjäger nichts gegen die Kakerlaken tun kann, weil ihn die ganzen Ratten im Haus daran hindern...
Das was du beschreibst ist Teil des Problems.
Der Käufer ist der Gearschte, weil die drei Parteien Google, Hersteller und Provider sich gegenseitig die Schuld in die Schuhe schieben und alle ehrlich gesagt keinen Bock darauf haben ein Gerät zu supporten an dem sie kaum etwas verdienen (wie es bei der überragenden Mehrheit der Androiden halt ist, mit billigen Geräten mit billigen Verträgen für Nutzer die kaum das Internet oder Apps nutzen).

 

[feidl74]

als ob man die lücken nicht vorher kannt, zum proplem wird sowas ja erst, wenns ausgenutzt wird, ansonsten ....

 

[crashbandicot]

@crashbandicot
Du beschreibst da gerade, dass der Kammerjäger nichts gegen die Kakerlaken tun kann, weil ihn die ganzen Ratten im Haus daran hindern...
Das was du beschreibst ist Teil des Problems.

Nope. Um bei deinem Beispiel zu bleiben. Google baut die Häuser (Android) und stellt diese Anbietern (Samsung und Co) zur Verfügung. Wenn jetzt etwas kaputt ist (Bug), kann Google zwar sagen "He Samsung, ihr müsst da und da was ausbessern", aber da Samsung den Schlüssel zum Haus hat, kann Google nicht hingehen und das kaputte reparieren.

 

[inge70]

News-Update: Wie TeamViewer in einer Pressemitteilung verlautbarte, haben die TeamViewer-Apps und deren AddOns bereits vor der Sicherheitskonferenz Black Hat ein Update erhalten, um auf die als Certifi-Gate bekannte Sicherheitslücke zu reagieren. Im Pressetext heißt es: „Die neue Version von TeamViewer QuickSupport für Android verfügt über einen verbesserten Sicherheitsmechanismus. Dieser Schutzmechanismus führt zu einer sichereren Kommunikation zwischen den internen App-Komponenten. Diese Verbesserung verhindert potentiellen Missbrauch der Anwendung sowie der AddOns auf betroffenen Geräten.“ Das Update wird bei den meisten Geräten automatisch installiert.

betrifft aber nur die App "TeamViewer QuickSupport ", welches das Update erhalten hat. Die Teamviewer-App selbst, um von Handy aus den PC zu steuern usw. ist noch in Version 10.0.2712 vom 02.12.2014 bei Android verfügbar. Da schlägt der Test an. Somit wurde hier noch nicht nachgebessert.

 

[WC_Ente]

So sehr ich MS wegen Windows 10 und ihren Machenschaften nicht leiden kann.


Muss ich doch sagen, würde es kein Blackberry mehr geben,
gäbe es für mich nur 2 andere zur Auswahl mit Windows oder Jolla.

Ansonsten eben ein klassisches Symbian Gerät
---------------------------------------------------------------------------

Android ist für mich seit jeher ein NoGo, das selbe wie IOS

 

[iSight2TheBlind]

@crashbandicot
Microsoft hat bei Windows viel verkackt und erlaubt es, dass die Gerätehersteller die Notebooks die sie anbieten mit Bloatware vollpacken - aber eines haben sie richtig gemacht: Sie haben den Updatemechanismus fest in ihrer eigenen Hand und lassen die PC-Hersteller nicht darin herummurksen, oder gar die Händler (Bei einem Windows-Rechner entsprechend Media Markt/Saturn, bei Android-Smartphones entsprechend die Provider).

Wie gesagt, du schilderst nur weitere Facetten des zugrundeliegenden Problems.

Und auch trotz der Anpassungen durch die Gerätehersteller bleibt da - gerade wegen der Vorgaben von Google (Vorgaben welche Google-Apps installiert sein müssen etc.) - immer noch ein Android welches im Kern von Google ist (und nicht Samsung, LG, HTC oder sonstwem).

 

[crashbandicot]

Sie haben den Updatemechanismus fest in ihrer eigenen Hand und lassen die PC-Hersteller nicht darin herummurksen

Android lässt es halt zu, so ist das Konzept. Und vergleiche bitte ein abgeschottetes System (Windows) nicht mit einem offenen (Android). Das klappt nicht.

 

[WC_Ente]

Und vergleiche bitte ein abgeschottetes System (Windows) nicht mit einem offenen (Android). Das klappt nicht.

Ja Andriod ist ja auch so offen