News Experten entdecken Android-Sicherheitslücke

[CoqRouge]

...

@laderio BULLSHIT!

Also ich bleibe bei meinem Statement: diese News hier ist extrem ANTI-Google geschrieben und stellt entscheidende Punkte falsch bzw. unzureichend da. Wie es besser geht habe ich ja bereits geschrieben. Schade CB

Zur Reaktion von Google: es steht ja nirgendwo wie lange Google davon schon wusste...
mit 2.3.4 besteht weiterhin nur noch das Problem bei Picassa...

 

[Gnome]

Apple is erstn Sicherheitsloch. Also hackt auf denen rum und lasst Android gefälligst mit dem Geflame in Ruhe. Der Text ist so dermaßen Android-Hass-Mäßig geschrieben. Ihr macht euch langsam ein wenig lächerlich, CB. Anscheinend schwört ihr nur auf Apple. Pfui. Ihr wart auch mal besser...

 

[held641]

Wie?
Gibts jetzt ein Update für alle Android oder wie? Also z.B. auch für 2.2?
Also absofot meine ich?

Oder wird die Kalender App aktualisiert?

 

[crustenscharbap]

Ich finde es ist ein bisschen übertrieben, was hier und in anderen Berichten steht. Google passt da schon auf und ist meines erachtens eines der seriösten Unternehmen. Bei Android vermisse jedoch ich eine Funkion, wo ich direkt besätigen muss, wenn etwas im online gestellt wird oder etwas im System verändert wird. Also Der Zugriff auf Kontakte, Bilder, Nachrichten. Nur mir Bestätigung. Ähnlich wie bei Windows7 oder Linux.

 

[Jigs]

Und wenn dann einige Leute schreiben "wer offene WLANs nutzt selber Schuld", dann wünsche ich denen, dass deren Kommunikation über GSM oder zu Hause über ein verschlüsseltes WLAN oder per Kabel ins Internet abgehört wird und dann genau diese Lücke ausgenutzt wird. Mal schaun, ob die sich dann ohne offenes WLAN immer noch sicher fühlen. ^^

oh oh oh, allwissender. klar geht immer alles. es ist nur die frage, wie realistisch das ganze ist... die wenigstens werden so viel aufwand beitreiben oder können dies.
offene netzwerke sind immer eine dankbare einladung...

 

[Eggcake]

Wie?
Gibts jetzt ein Update für alle Android oder wie? Also z.B. auch für 2.2?
Also absofot meine ich?

Oder wird die Kalender App aktualisiert?

Nein, der User bemerkt davon nichts. Das geschieht auf den Google Servern.

 

[Striker4life]

Zum Glück hat mein Milestone 2.3.4 drauf

 

[Dr. MaRV]

@Styx
Nun, dass der Login (nicht der Login selber, aber das Token) unverschlüsselt übertragen wird und so jeder in all deine Googleservices einloggen kann (bis zu 14 Tage lang) ist aber doch ein etwas gröberes Problem.

Wo soll da ein größeren Problem sein? Ich will nicht wissen wie viele Leute jeden Tag ihre Mails per POP3 oder IMAP abholen, diese Protokolle arbeiten ohne besondere Einstellungen auch unverschlüsselt und übertragen das Passwort in Klartext. Wenn dabei dein Passwort ausgespäht wird, kann sich der Angreifer so lange in deinen Account einloggen bis du dein Passwort änderst und nicht nur 2 Wochen. Darüber regt sich auch niemand auf. Umso lustiger ist es wie dieses vermeintliche Problem jetzt von einigen Leuten, deren Lieblingsmarke einen angebissenen Apfel hat, hochgespielt wird um vom Dreck vor der eigenen Haustür abzulenken.

Also einfach offene WLAN Netze meiden und gut ist. Ich versteh eh nicht wie man eine so unsichere Art der Kommunikation nutzen kann, wenn auf jedem größeren Bahnhof oder Flughafen der auch WLAN anbietet, UMTS Verfügbar ist. Eine sicherere, wenn auch langsamere und für den mobilen Menschen unbrauchbare, weil Kabelgebundene Art der Kommunikation bietet sonst nur noch ISDN.

 

[Sun_set_1]

oh oh oh, allwissender. klar geht immer alles. es ist nur die frage, wie realistisch das ganze ist... die wenigstens werden so viel aufwand beitreiben oder können dies.
offene netzwerke sind immer eine dankbare einladung...

Oh oh, noch ein allwissender...

Und trotzdem bleibt das Problem dass die Tokens nicht verschlüsselt sind, das hat 0 mit verschlüsseltem oder nicht verschlüsseltem WLAN zu tun!

http://en.wikipedia.org/wiki/Software_token

 

[SILen(e]

Halt genau so wie die Süßwarenfanatiker sich über eine Logdatei bei Apple aufregen, die den Rechner des Nutzers, so lange kein Trojaner auf dem Rechner ist, nie verlässt.
Aber dann hätte der Nutzer sowieso verloren, da der Trojaner ja auch gleich das Onlinebanking ausspähen könnte.

Das hier ist im Gegensatz zu 'Locationgate' eine wirkliche Sicherheitslücke.
Und dass es nichts mit Android zu tun haben soll, nur weil es 'nur' offizielle Google Apps sind die betroffen sind - wenn beim iPhone die Taschenrechner-App ne Sicherheitslücke hätte und man darüber persönliche Daten abgreifen könnte wären die Android Fans die ersten die hier lachen und flamen würden.

 

[Dr. MaRV]

Oh oh, noch ein allwissender...

Und trotzdem bleibt das Problem dass die Tokens nicht verschlüsselt sind, das hat 0 mit verschlüsseltem oder nicht verschlüsseltem WLAN zu tun!

http://en.wikipedia.org/wiki/Software_token

Sicher hat das damit was zu tun. Ist die Kommunikation verschlüsselt, sind es auch die Daten welche übertragen werden und damit auch das Token welches übertragen wird. Wozu gibt's wohl VPN und IPSec?

 

[Magellan]

Zwar nicht unbedingt die angepasste iOS Version aber definitiv ist der Kernel an sich OpenSource

Ach nein, ein Linux / Unix Kernel ist nunmal immer Opensource.
Wenn iOS auch nur annähernd als Opensource zu bezeichnen wäre dann hätten sämtliche Handyhersteller nicht auf Android gewartet sondern sich anno 2007 auf iOS gestürzt.

Nein, der User bemerkt davon nichts. Das geschieht auf den Google Servern.

Wie kann das nur auf den Servern geschehen? Kommunikation ist ja immer eine zweiseitige Sache und der Server kann nicht einfach Informationen verschlüsselt senden ohne dass der Client dies erwartet.

Kennt man da Details? Könnte mir höchstens vorstellen dass die GoogleApps ein flexibles Kommunikationssystem haben wodruch Daten beliebig verschlüsselt (oder nicht) gesendet werden können.

 

[Dystop1an]

Was hier schon wieder abgeht, da sieht man direkt wieder welche Hardcore Fanboys hier ihre Firma vertreten

Aber dann die Redakteure zu beschimpfen weil der "Artikel" voreingenommen oder total "anti google" geschrieben sein soll... Die leute sollten echt mal zum Psychologen gehen, wenn die schon eine so Starke Emotionale Bindung an eine Firma haben

Ist doch gut das Android so stark in der Kritik steht, dadurch kanns ja nur besser werden!
Was ist eigentlich mit dem IP6to4 Leck? Ist doch auch immernoch offen bei Android oder? Könnte auch mal langsam geschlossen werden^^

Die Dreistigkeit überhaupt ist aber immernoch das z.b. App's unter iOS verschlüsselt laufen, unter Android aber unverschlüsselt (beispiel: Skype). Da ist nur google nicht direkt dran schuld.

Ist die Kommunikation verschlüsselt, sind es auch die Daten welche übertragen werden und damit auch das Token welches übertragen wird. Wozu gibt's wohl VPN und IPSec?

Was soll der schwachsinn denn?
Erstens ist IPSec VPN.
Zweitens benutzt man VPN nicht weil die Dienste bzw. OS Entwickler geschlampt haben.
Drittens, was soll dir in dem fall VPN bringen? Du kannst mit VPN nur innerhalb von n-Standorten verschlüsselt kommunizieren, die Kommunikation zu google etc. ist aber trotzdem unverschlüsselt, oder besitzt du etwa nen VPN Zugang zu den Google Servern?
Dir fehlt wohl grundlegendes Wissen über Verschlüsselung und Sicherheit, ich will dich auch nciht Persönlich angreifen, aber der Satz mit dem Token und dem Verschlüsselten W-Lan zeigt einiges

 

[laderio]

@laderio BULLSHIT!

Ja, so kann man deinen Beitrag verstehen.

Wie ich schon woanders geschrieben habe:
Winfuture differenziert zwischen der Lücke “Android verbindet sich automatisch mit schon einmal verbundenen WLANs” und dem “unverschlüsselten Übertragen von AuthTokens”. Ersteres wird von Winfuture ein wenig ins lächerliche gezogen. Das zweite wird als Sicherheitslücke betrachtet. Zusätzlich wird festgestellt, dass viele andere Dienste auch diese Lücken aufweisen, was natürlich die Lücke nicht besser macht.

Ich habe echt nichts gegen Google, bin sogar ein großer Fan, allerdings ist und bleibt eine Sicherheitslücke eine Sicherheitslücke und unverschlüsselte Kommunikation hat im Internet nichts zu suchen, ob ich mich nun über ein offenes WLAN, über GSM oder sonstwie verbinde...

oh oh oh, allwissender. klar geht immer alles. es ist nur die frage, wie realistisch das ganze ist... die wenigstens werden so viel aufwand beitreiben oder können dies.
offene netzwerke sind immer eine dankbare einladung...

Wie realistisch das ganze ist? Schau dir mal das BGP an und den Fall mit China. Und da hat man dann nicht nur ein paar, wie in einem offenen WLAN, sondern direkt eine ganz andere Größenordnung.
Chinesischer Provider "entführt" kurzzeitig Teile des Internets

Wo soll da ein größeren Problem sein? Ich will nicht wissen wie viele Leute jeden Tag ihre Mails per POP3 oder IMAP abholen, diese Protokolle arbeiten ohne besondere Einstellungen auch unverschlüsselt und übertragen das Passwort in Klartext.

Also ich rufe meine Mails über die verschlüsselte Web-Oberfläche von Gmail ab. Das gleiche mit meinem Kalender. Dazu gesellt sich mein HTC Desire. Von daher war ich bisher relativ sicher, bin sicher alles andere als für Apple und nun von diesem Problem betroffen und erwarte von Google einfach nur einen sicheren Login.

Sicher hat das damit was zu tun. Ist die Kommunikation verschlüsselt, sind es auch die Daten welche übertragen werden und damit auch das Token welches übertragen wird. Wozu gibt's wohl VPN und IPSec?

Schade, dass nicht die Kommunikation verschlüsselt ist, sondern nur ein Teil der Strecke..-

Erstens ist IPSec VPN.

Nicht böse gemeint, aber das ist falsch...

 

[Sun_set_1]

Ach nein, ein Linux / Unix Kernel ist nunmal immer Opensource.
Wenn iOS auch nur annähernd als Opensource zu bezeichnen wäre dann hätten sämtliche Handyhersteller nicht auf Android gewartet sondern sich anno 2007 auf iOS gestürzt.

Sorry aber das ist Schwachsinn. Nur weil Darwin OpenSource ist, ist er trotzdem noch Apple' geistiges Eigentum und kann deshalb nicht so mirnichtsdirnichts von anderen Herstellern in kommerziellen Produkten eingesetzt werden.

Nichtsdestotrotz liegt der Quellcode hier vor. Hacker können sich also genauso auf den Darwin Kernel stürzen wie sie es auch auf den Linuxkernel bei Android können.
Mein Kommentar war darauf bezogen dass jemand geposted hat, dass Android ja OpenSource sei und man deshalb leichter Sicherheitslücken findet.

Was die verschlüsselte Kommunikation in Verbindung mit den unverschlüsselten Tokens angeht, hat anonymous_user schon ausreichend geantwortet.

Und wie gesagt es geht nicht nur um offene W-LAN Netzwerke. Theoretisch kann man den Token auch bei jeder GSM / Edge Verbindung auslesen, da diese generell nicht verschlüsselt werden. Sprich man muss keine Man-in-the-middle Attacke fahren, es reicht vollkommen aus den Funkverkehr einfach mitzuschneiden

 

[laderio]

Theoretisch kann man den Token auch bei jeder GSM / Edge Verbindung auslesen, da diese generell nicht verschlüsselt werden. Sprich man muss keine Man-in-the-middle Attacke fahren, es reicht vollkommen aus den Funkverkehr einfach mitzuschneiden

Verschlüsselt werden die schon, allerdings ist die Verschlüsselung nicht die beste. Man setzte hier mehr auf Sicherheit durch Unwissenheit, weil man das Verschlüsselungsverfahren geheim gehalten hat. Durch Reverse-Engineering konnte man aber "A5", wie die Verschlüsselung heißt, dann doch analysieren und ist schnell fündig geworden, was Sicherheitslücken angeht.
26C3: Deutscher Hacker knackt GSM-Verschlüsselung
UMTS soll dagegen eine bessere Verschlüsselung bieten.
Bringt aber alles nichts beim Internet-Traffic, da die Verschlüsselung dort endet. Hilft nur beim Telefonieren...

 

[Magellan]

Nur weil Darwin OpenSource ist, ist er trotzdem noch Apple' geistiges Eigentum und kann deshalb nicht so mirnichtsdirnichts von anderen Herstellern in kommerziellen Produkten eingesetzt werden.

Die allgemeine Definition von Open Source ist nicht nur dass der Quellcode bekannt ist sondern stellt auch Bedingungen an die Lizenz - unter anderem dass der Code beliebig kopiert, verändert und weiterverbreitet werden darf.
Das "offen" bezieht sich also nicht nur auf die Einsicht des Codes sondern auch auf alle anderen Aspekte.

Folglich ist iOS in keinster weise open source.

Siehe z.B. Definition nach der Open Source Initiative.

 

[Dr. MaRV]

Was soll der schwachsinn denn?
Erstens ist IPSec VPN.

Erkundige dich bevor du solch Blödsinn schreibst!

Zweitens benutzt man VPN nicht weil die Dienste bzw. OS Entwickler geschlampt haben.
Drittens, was soll dir in dem fall VPN bringen? Du kannst mit VPN nur innerhalb von n-Standorten verschlüsselt kommunizieren, die Kommunikation zu google etc. ist aber trotzdem unverschlüsselt, oder besitzt du etwa nen VPN Zugang zu den Google Servern?

Es ging darum ein Beispiel zu nennen bei dem Daten, welche unverschlüsselt vorliegen trotzdem sicher übertragen werden können.

Dir fehlt wohl grundlegendes Wissen über Verschlüsselung und Sicherheit, ich will dich auch nciht Persönlich angreifen, aber der Satz mit dem Token und dem Verschlüsselten W-Lan zeigt einiges

Ja, das Gefühl habe ich bei dir auch.

Ist der Übertragungsweg verschlüsselt, Stichwort verschlüsseltes WLAN, wird auch das unverschlüsselt vorliegende Token verschlüsselt übertragen. Ein Angreifer müsste dann um an die Informationen zu kommen, erst einmal die WPA2 Verschlüsselung des WLAN überwinden um einen Angriff starten zu können, oder sich direkt im Kabelgebundenen Abschnitt des Übertragungsweges zwischen Empfänger und Sender befinden, was relativ unwahrscheinlich ist. Genau darum geht es in meinem Satz. Und genau darum wird davor gewarnt ungesicherte Drahtlosnetzwerke zu benutzen. Also beim nächsten mal erst denken, dann flamen.

 

[Dystop1an]

Erstens ist IPSec VPN.
Nicht böse gemeint, aber das ist falsch...

Wieso das? Wenn man von VPN redet ist IPSec Technisch gesehen nur eine der Sicherheitsmethodik der Übetragung(OSI Schicht und Protokoll). Sprich IPSec ist/kann VPN, und ist im grunde nur eine der zu grunde liegenden Protokolle!

Wiki:

IPsec is an end-to-end security scheme operating in the Internet Layer of the Internet Protocol Suite. It can be used in protecting data flows between a pair of hosts (host-to-host), between a pair of security gateways (network-to-network), or between a security gateway and a host (network-to-host).

Was nichts anderes ist als Site-to-Site VPN oder auch End-to-Site VPN!

@Dr. Marv:
Du verstehst es immernnoch nicht. Wenn dein W-Lan verschlüsselt ist aber der Token alleine nicht, was soll dir das bringen? Nochmals meine Frage besitzt du eine VPN verbindung zu den google Servern oder hast du von Zuhause aus eine verschlüsselte W-Lan Verbindung bis nach google?
Oder meinst du etwa das dein Router alles was aus dem W-Lan kommt im Gesamten Internet Verschlüsselt weiter Überträgt?

Erkundige dich bevor du solch Blödsinn schreibst!

Dann schieß mal los, du Profi Was macht man mit IPSec denn noch sonst so wenn man VPN Weglässt?
Und nur mal am Rande, ich benutze IPSec schon seit Jahren selber.

 

[laderio]

Wieso das? Wenn man von VPN redet ist IPSec Technisch gesehen nur eine der Sicherheitsmethodik der Übetragung(OSI Schicht und Protokoll). Sprich IPSec ist/kann VPN, aber natürlich kann das auch mehr, was ich ja nicht abstreite!

Wiki:

Was nichts anderes ist als Site-to-Site VPN oder auch End-to-Site VPN!

VPN ist eine Technologie, um Computer aus der Ferne in ein Netzwerk zu integrieren. So kann z.B. ein Rechner im Internet in ein Heimnetzwerk integriert werden und merkt nicht, dass er eigentlich gar nicht im Heimnetz ist.
IPsec ist eine Verschlüsselungstechnologie.

Nun kann man bei einem VPN, um die Sicherheit zu erhöhen, beispielsweise IPsec als Verschlüsselung nutzen. Ist aber genauso wie Auto und Dieselmotor. Ein Auto mit Benzinmotor geht genauso. Und auch ohne Motor kann man immer noch selber treten (Go-Kart).

Ist der Übertragungsweg verschlüsselt, Stichwort verschlüsseltes WLAN, wird auch das unverschlüsselt vorliegende Token verschlüsselt übertragen. Ein Angreifer müsste dann um an die Informationen zu kommen, erst einmal die WPA2 Verschlüsselung des WLAN überwinden um einen Angriff starten zu können, oder sich direkt im Kabelgebundenen Abschnitt des Übertragungsweges zwischen Empfänger und Sender befinden, was relativ unwahrscheinlich ist. Genau darum geht es in meinem Satz. Und genau darum wird davor gewarnt ungesicherte Drahtlosnetzwerke zu benutzen. Also beim nächsten mal erst denken, dann flamen.

Ist leider auch nicht besser, wenn nur ein Teil des Übertragungsweges verschlüsselt ist...