News Fortnite Android: Google entdeckt Schwachstelle im Installer

[chithanh]

Hier mal eine andere Betrachtungsweise:
https://techcrunch.com/2018/08/24/fortnites-android-installer-shipped-with-an-epic-security-flaw/

Leider wird hier sehr tendenziös und uninformiert berichtet. Es wird suggeriert, dass Google die Sicherheit der Anwender gefährdet hat, wenn genau das Gegenteil der Fall ist. Ohne Google wären sie weiterhin verwundbar und wüssten es nichtmal.

Die Frage, die sich daraus stellt ist folgende:
Bringt Google die Anwender sogar nicht eher in Gefahr, wenn sie eine Sicherheitslücke veröffentlicht, bevor diese auf einem Großteil der Endgeräte gefixt ist?
Dabei sollte man wie gesagt nicht vergessen, das Epic des Fix einen Tag später schon hatte.

Hast du bereits den Artikel von Bruce Schneier gelesen? Ich empfehle dir das dringend. Er geht auch ausdrücklich darauf ein, ob es für die Anwender besser ist, Details schnell zu veröffentlichen oder damit zu warten.

Es gibt in der Sicherheitsbranche tatsächlich eine Diskussion, wann und auf welchem Weg Nutzer über die Sicherheitsprobleme in ihrer Hard- und Software zu informieren. Die gängigen Wege sind:

1. Full Disclosure: Die Lücke wird sofort der Öffentlichkeit gemeldet. Hersteller, Anwender und Cyberkriminelle werden gleichzeitig darüber informiert, sofern sie es nicht bereits wussten. Dies wird von einigen renommierten Sicherheitsforschern wie etwa Bruce Schneier befürwortet.
2. Responsible Disclosure: Die Lücke wird sofort dem Hersteller gemeldet, mit der Ankündigung sie bei Vorliegen eines Sicherheits-Patches oder zu einem bestimmten Termin zu veröffentlichen, je nachdem was zuerst eintritt. Dies wird etwa vom Google Project Zero so gehandhabt, wie auch von einer Reihe weiterer Organisationen.
3. Coordinated Disclosure: Die Lücke wird dem Hersteller gemeldet, und die Veröffentlichung geschieht nach einem vom Hersteller festgelegten Zeitplan. Dies wird etwa von Microsoft befürwortet, und auch von Epic im vorliegenden Fall.

Im Ergebnis stimme ich Bruce Schneiers Einschätzung zu, dass Full Disclosure am Besten ist, gefolgt von Responsible Disclosure. Nur wenn Anwender genau und zeitnah über die Sicherheitslücken in Kenntnis gesetzt werden, können sie die Sicherheit ihrer Systeme zutreffend einschätzen und informierte Entscheidungen treffen, wie sie mit dem Problem umgehen wollen.

Die Fehleinschätzung, der viele Befürworter von Coordinated Disclosure unterliegen ist, dass Cyberkriminelle von der Lücke bislang noch nicht wussten. Dies ist aber im allgemeinen falsch, wie Untersuchungen zur unabhängigen Meldung von Sicherheitslücken gezeigt haben:

For our dataset, 15% to 20% of vulnerabilities are discovered independently at least twice within a year. For just Android, 13.9% of vulnerabilities are rediscovered within 60 days, rising to 20% within 90 days, and above 21% within 120 days. For the Chrome browser we found 12.57% rediscovery within 60 days; and the aggregate rate for our entire dataset generally rises over the eight-year span, topping out at 19.6% in 2016. We believe that the actual rate is even higher for certain types of software.

https://www.schneier.com/blog/archives/2017/07/measuring_vulne.html

 

[FrAGgi]

Finde ich absolut nachvollziehbar von Google, dass sie so vorgegangen sind.
Denke Epic wird das ganze nicht wirklich schaden, denn die meisten Fortnite Spieler bekommen davon eh nichts mit

 

[OTM-Offline]

Leider wird hier sehr tendenziös und uninformiert berichtet. Es wird suggeriert, dass Google die Sicherheit der Anwender gefährdet hat, wenn genau das Gegenteil der Fall ist. Ohne Google wären sie weiterhin verwundbar und wüssten es nichtmal.

Hast du bereits den Artikel von Bruce Schneier gelesen? Ich empfehle dir das dringend. Er geht auch ausdrücklich darauf ein, ob es für die Anwender besser ist, Details schnell zu veröffentlichen oder damit zu warten.

Es gibt in der Sicherheitsbranche tatsächlich eine Diskussion, wann und auf welchem Weg Nutzer über die Sicherheitsprobleme in ihrer Hard- und Software zu informieren. Die gängigen Wege sind:

1. Full Disclosure: Die Lücke wird sofort der Öffentlichkeit gemeldet. Hersteller, Anwender und Cyberkriminelle werden gleichzeitig darüber informiert, sofern sie es nicht bereits wussten. Dies wird von einigen renommierten Sicherheitsforschern wie etwa Bruce Schneier befürwortet.
2. Responsible Disclosure: Die Lücke wird sofort dem Hersteller gemeldet, mit der Ankündigung sie bei Vorliegen eines Sicherheits-Patches oder zu einem bestimmten Termin zu veröffentlichen, je nachdem was zuerst eintritt. Dies wird etwa vom Google Project Zero so gehandhabt, wie auch von einer Reihe weiterer Organisationen.
3. Coordinated Disclosure: Die Lücke wird dem Hersteller gemeldet, und die Veröffentlichung geschieht nach einem vom Hersteller festgelegten Zeitplan. Dies wird etwa von Microsoft befürwortet, und auch von Epic im vorliegenden Fall.

Im Ergebnis stimme ich Bruce Schneiers Einschätzung zu, dass Full Disclosure am Besten ist, gefolgt von Responsible Disclosure. Nur wenn Anwender genau und zeitnah über die Sicherheitslücken in Kenntnis gesetzt werden, können sie die Sicherheit ihrer Systeme zutreffend einschätzen und informierte Entscheidungen treffen, wie sie mit dem Problem umgehen wollen.

Die Fehleinschätzung, der viele Befürworter von Coordinated Disclosure unterliegen ist, dass Cyberkriminelle von der Lücke bislang noch nicht wussten. Dies ist aber im allgemeinen falsch, wie Untersuchungen zur unabhängigen Meldung von Sicherheitslücken gezeigt haben:


https://www.schneier.com/blog/archives/2017/07/measuring_vulne.html

Ja, den Artikel kenne ich und auch den englischen Artikel bei Wiki zu dem Thema habe ich gelesen.
Ich habe mittlerweile auch verstanden, dass du Schneiers Meinung bist, aber leider gibt es da eben nicht nur eine Meinung, die richtig ist.
Es gibt auch nicht nur drei Ansätze, um eine solche Situation zu meistern.
Von daher ist Schneiers Meinung, die im übrigen schon 11 Jahre alt ist und die "App-Ära" überhaupt nicht berücksichtigen konnte, auch nicht der heilige Gral.

Ich sehe Full Disclosure in keinster Weise als einzige Lösung an, weil sie in ihrer pauschal undifferenzierten Anwendung schlicht extremistisch ist. Denn sie beruht auf der Annahme, dass alle Softwarehersteller kein Interesse an der Sicherheit ihrer Software haben, Sicherheitslücken unterschätzen und lediglich an den Profit ihrer Software denken; und deshalb muss man alles sofort offen legen, damit alle informiert sind. Bei allem Respekt, aber in dieser Hinsicht ist Schneier einfach nur ein realitätsfremder linksautonomer Spinner: "I don't want to live in a world where companies can sell me software they know is full of holes or where the government can implement security measures without accountability. I much prefer a world where I have all the information I need to assess and protect my own security."

Übertragen wir das doch mal in die heutige Realität, anno 2018:
Wie viele Smartphone-User sind in der Lage für ihre eigene vollumfassende IT-Sicherheit selbstständig zu sorgen? Wie viele können das an ihrem PC? Wie viele haben das technische Know-How, können programmieren oder haben ein großes IT-Hintergrundwissen? Beispiel Deutschland: Welche Zeitung ist die auflagenstärkste Zeitung in Deutschland? Die BILD. Und weltweit die fünftstärkste? Auch die BILD.

Full Disclosure setzt auf Seiten der User eigentlich mehrheitlich IT-Experten voraus. Wie utopisch ist das bitte? Das erinnert mich an die wilden Träumereien der IT-Anfangszeit, in der man die Zivilisation im Jahr 2000 als technische Überwesen gesehen hat; wir müssten demnach heute alle Programmierer sein, weil wir das alle in der Schule von der Klasse 1-13 durchgängig gelernt haben.
Und wie sieht die Realität aus? Wir sind größtenteils uninformierte Konsumenten, die in erster Linie unterhalten werden wollen. Und das obwohl seit dem WWW die Informationen für einen aufgeklärteren Umgang frei im Netz erhältlich sind. Es besteht bei der Mehrheit schlicht kein Interesse an nützlichem Allgemeinwissen.

Und das soll bei Usern von Fortnite jetzt anders sein, um Full Disclosure für ein passenden Mittel zu halten?

Okay, ich akzeptiere deine Meinung, aber bitte akzeptiere auch meine: realitätsfremde Betrachtung und Einschätzung einer degenerierten Gesellschaft. Für meine These gibt es 10000000000 Beweise aus allen Ecken des Lebens.
Wer kann mir ein ähnliches Gegengewicht nennen, welches die menschliche Spezies der eigenen Utopie nah genug kommen lässt?

 

[Laggy.NET]

Den externe Speicher teilen sich alle Apps und er ist zum Ablegen von Dateien wie Fotos oder Audio etc. gedacht. Eben nicht um dort Executables wie APKs zwischenzuspeichern und automatisiert aufzurufen wie es Epic gemacht hat. Andere Apps können theoretisch eine APK überschreiben/ersetzen nachdem diese in den externen Speicher runtergeladen wurde. Das hat nichts mit failure by design zu tun.
Über den "Install-Button" im Installer sollte man aber ja davon ausgehen können, dass in jedem Fall die richtige APK installiert wird. Das ist nur sichergestellt wenn der private Speicher des Installers genutzt wird, da auf diesen einzig der Installer Zugriff hat. Ganz einfach.

Mir gehts ja jetzt auch nicht direkt um die Sicherheitslücke, sondern um Datenschutz allgemein. Mal angenommen, mir geht der Speicher aus und ich muss z.B. meine Musik App anweisen, die Musik auf der Speicherkarte zu speichern. Sobald ich das mache hat, die Musikapp zugriff auf ALLE Dateien auf der Speicherkarte sprich dokumente, fotos und videos usw. die auch auf der Karte sind und könnte diese auslesen und nachhause senden?! Will ich das unterbinden, darf ich der App überhaupt keinen Zugriff auf die Speicherkarte geben?

Wenn das so ist, dann ist das meiner Meinung nach definitiv ganz ganz großer Schwachsinn.

 

[G00fY]

Wenn das so ist, dann ist das meiner Meinung nach definitiv ganz ganz großer Schwachsinn.

Das ist nun mal die Eigenschaft von Shared Storage. Woher will eine Musik-App wissen in welchen Ordnern du überall Musik ablegst? Wenn du das Smartphone per USB an den PC anschließt kannst du auch auf alle Dateien auf dem externen Speicher zugreifen.
Ist das gleiche wie der User Storage auf allen anderen Betriebssystemen. Erschreckend dass man das für Nutzer in einem PC Forum überhaupt erläutern muss...

 

[Laggy.NET]

Das ist nun mal die Eigenschaft von Shared Storage. Woher will eine Musik-App wissen in welchen Ordnern du überall Musik ablegst? Wenn du das Smartphone per USB an den PC anschließt kannst du auch auf alle Dateien auf dem externen Speicher zugreifen.
Ist das gleiche wie der User Storage auf allen anderen Betriebssystemen. Erschreckend dass man das für Nutzer in einem PC Forum überhaupt erläutern muss...

Na ja, die simpelste Möglichkeit wäre, jeder App nur lese und schreibzugriff auf einen bestimmten ordner zu geben. Alles weitere müsste der User jeweils manuell bestätigen bzw. freigeben.

Bei einem Smartphone finde ich das verhalten halt kritisch, da dort eben oft dutzende, wenn nicht hunderte Apps installiert sind, deren Verhalten man nicht nachvollziehen kann.
Am PC nutze ich hingegen nur bekannte Software, die meist auch open Source ist. Zudem sind auf meinem PC weniger persönliche Daten, als auf meinem Smartphone...

 

[Schpedsi]

Kleiner Grammatikfehler im Text. Der Nebensatz "[...]dürfte das Wissen und die Erfahrung im Umgang mit Schädlingen der von Epic deutlich größer sein" passt nicht. Eventuell "überlegen" statt "größer", aber auch dann ist der Satz nicht schön. Würde ich umschreiben.

Bitte korrigieren wenn ich mich vertue.

 

[chithanh]

Von daher ist Schneiers Meinung, die im übrigen schon 11 Jahre alt ist und die "App-Ära" überhaupt nicht berücksichtigen konnte, auch nicht der heilige Gral.

Er hat sie zwischenzeitlich immer wieder bekräftigt, und ich denke sie ist heute aktueller denn je. Die Komplexität heutiger Computersysteme ist kaum noch beherrschbar was die Sicherheit angeht, und anstatt innezuhalten und auf sicheres Design mit sauber getrennten Komponenten zu setzen wird immer mehr Komplexität hinzugefügt.

Die 90-Tage-Frist bei Responsible Disclosure sind schon viel, aber in einer Reihe von Fällen haben es Firmen tatsächlich nicht innerhalb dieser Frist hinbekommen, die Lücke abzudichten. Ein Produkt welches man in 90 Tagen nicht sicher bekommt, ist meiner Ansicht nach nicht mehr beherrschbar.

Ich sehe Full Disclosure in keinster Weise als einzige Lösung an, weil sie in ihrer pauschal undifferenzierten Anwendung schlicht extremistisch ist. Denn sie beruht auf der Annahme, dass alle Softwarehersteller kein Interesse an der Sicherheit ihrer Software haben, Sicherheitslücken unterschätzen und lediglich an den Profit ihrer Software denken; und deshalb muss man alles sofort offen legen, damit alle informiert sind.

Es gibt bislang kaum wirtschaftliche Anreize, die Software sicher zu machen. Sicherheit kostet Zeit und Geld. Wer ein unsicheres Produkt schnell auf den Markt werfen kann, der hat einen Vorteil gegenüber Konkurrenten, die sich zunächst um ordentliche Sicherheit kümmern. Dafür gibt es unzählige Beispiele.

Und es gibt auch Beispiele, wo Firmen wenn ihre Existenz von der Sicherheit ihrer Produkte abhängig ist, auf ordentliches Sicherheitsdesign wert legen. Die Nintendo Switch etwa hat abgekapselte Bereiche für einzelne Dienste und Anwendungen, verzichtet auf Funktionen die in der Vergangenheit problematisch waren, usw. Dass am Ende das Ganze dann doch zusammengebrochen ist, lag am Zulieferer NVidia.

Full Disclosure setzt auf Seiten der User eigentlich mehrheitlich IT-Experten voraus.

Das ist ein Irrtum. Full Disclosure hat auch dann wichtige positive Auswirkungen, wenn man kein IT-Experte ist. Etwa die Lenkungswirkung, auf die auch Bruce Schneier abzielt:

Es zwingt die Hersteller, proaktiv in die Sicherheit ihrer Produkte zu investieren. Also Produkte erst möglichst sicher zu machen und sie dann auf den Markt zu bringen. Und eine Infrastruktur bereitzustellen, mit der auf gemeldete Lücken schnell reagiert werden kann. Wenn ein Kunde mehrere Wochen pro Jahr ungeplante downtime hat weil mal wieder ein Zero-day-Exploit aufgetaucht ist, wird er sich schnell einen anderen Hersteller suchen, der innerhalb von 24 Stunden patchen kann. Produkte, die so komplex sind, dass sie nicht schnell abgedichtet werden können, sind dann am Markt nicht mehr überlebensfähig.

Und Maßnahmen, die Sicherheit der Produkte zu erhöhen gibt es viele. Man kann natürlich nichts gegen Programmierfehler machen, aber man kann etwa deren Auswirkungen auf die Sicherheit klein halten. Und man kann von vorne herein dafür sorgen, dass die Komplexität überschaubar bleibt, indem man Funktionen und Dienste voneinander abkapselt, so dass ein Problem in einer Komponente nicht die Sicherheit des gesamten Systems gefährdet, und dass eine Änderung in dieser Komponente nicht unüberschaubare Auswirkungen auf alles andere hat.

Okay, ich akzeptiere deine Meinung, aber bitte akzeptiere auch meine: realitätsfremde Betrachtung und Einschätzung einer degenerierten Gesellschaft. Für meine These gibt es 10000000000 Beweise aus allen Ecken des Lebens.
Wer kann mir ein ähnliches Gegengewicht nennen, welches die menschliche Spezies der eigenen Utopie nah genug kommen lässt?

Dann nenne doch mal einen Beweis.

Weil Computer-Auto-Vergleiche so beliebt sind: Wenn bei Autos ein schwerwiegendes Problem gefunden wird, gibt es oft einen Rückruf, der den Hersteller viele Millionen oder gar Milliarden kosten kann.
Wenn in Software ein Problem auftritt, was die Geräte von Millionen von Anwendern gefährdet, dann gibt es oft nur ein Schulterzucken, und es wird mit dem Finger auf die bösen Hacker gezeigt. Hier sind die Öffentlichkeit und die Käufer das einzige Korrektiv.

 

[timboboy123]

Oh Leute...
Punkt 1. So ziemlich ALLE Android-Apps strotzen nur so vor Sicherheitslücken, Memory-Leaks und Bugs. Es kann halt jeder Pfosten ne Android App machen...

Punkt 2. Keine Software ist sicher. Manche sind sicherer als andere, aber Exploits gibt's für alle (wie schwerwiegend ist was anderes). Willkommen in der Softwarewelt.

Punkt 3. Die App holt man sich über Epic.
Deren System ist auch gesichert. Sprich wenn man einfach die App bei Epic zieht ist man "relativ Sicher" dabei. Epic hat jetzt keine lange Historie von aussetzern durch Hacker. Ich bin der Meinung das es egal ist weil jeder der Epic Games hijacken könnte das auch mit dem Playstore.

No big deal...

 

[<unknown>]

@<unknown> Also nur Spyware direkt vom Hersteller?
Und deine Daten bei kostenpflichtigen Apps wieder wie vor 10 Jahren auf zig kleineren und größeren Downloadseiten für Windows Mobile Anwendungen streuen, damit dir wenigstens bei einem Anbieter mal die Kreditkartendaten gestohlen werden können?

Spyware direkt vom Hersteller kann man theoretisch immer bekommen.
Spyware von Google bekommt man nachgewiesener Maßen immer mit.
Und Spyware eines Herstellers über Googles Plattform erhöht das Risiko nochmals.

Also ja, der logische Schritt ist, dass man das Risiko auf nur den Hersteller alleine beschränkt.
Der Vorteil dabei ist, dass bei nachgewiesener Spyware der Hersteller geschädigt wird und gemieden werden kann und ein Anderer als Alternative zur Verfügung steht.
Bei Googles PlayStore kann auch ein vertrauenswürdiger Hersteller/Entwickler nicht kontrollieren, ob seine App bzw. eine App unter seinem Namen sicher ist oder nicht.
Oder man verhält sich wie üblich: Man meckert ein bisschen und ändert trotzdem nichts am Verhalten. Das wird jedes Jahr aufs Neue bewiesen. Die Menschen interessiert es nicht, solange das Ausmaß zu gering ist oder sie nicht persönlich betroffen sind.

Kreditkartendaten werden in den meisten Fällen nicht beim Hersteller, sondern bei einem Dienstleister hinterlegt.
Beim Kaufvorgang wirst du automatisch mit diesem verbunden und sendest die Daten direkt an ihn, statt an den Hersteller. Nur ein kleiner Teil, behält auch diese Daten von dir und meist handelt es sich dabei um die ganz großen Unternehmen.