News Google schließt schwere Android-Sicherheitslücke

[terraconz]

Das mit der Updatepolitk ist wirklich so eine Sache. Das war auch ein Grund warum auf meinem Samsung Galaxy S2 nach 2 Wochen der Cyanogen Mod war und jetzt auf meinem OPPO Find 5 schon nach 2 Tagen.
Da kann man dem ganzen etwas vorbeugen zum Glück.

Witziger weise erhöhst du damit die Chance dem zum Opfer zu fallen und nicht umgekehrt!
Auf einem gekauften Android Device des 0815 Users ist die Option .apks aus fremden Quellen zu beziehen nie aktiv, es trifft die Leute die mit den Geräten rumspielen (root, roms usw) und deshalb die Option aus fremden Quellen zu installieren aktiv haben.
Laut den Android Gegnern also eh niemanden denn niemand will (laut Gegenseite!) sein Gerät rooten oder custom firmware aufspielen, insofern also kein Problem. Die Leute die es trifft sind sich der Gefahr bewußt und können das ganze auch wieder beheben und alle anderen sind nicht betroffen.

 

[empaty]

Also betrift diese Lücke nur die gerooteten und geromten Version und ich kann noch ein bissel mit meinem 4.1.1 Leben ,weil ich brauche mein Handy noch ein Weilchen ,weil ich oft unterwegs bin ,so auch mit meinem Tablet ?

 

[TNM]

Nana, das Problem ist schon mehr als nur ein "theoretisches" Problem.

Den Hack gibt es seit 1.6, Google weiß davon seit Februar 2012. Kurz überlegen was das heißt. Im Zeitraum dazwischen kann es solche befallene Apps AUCH im Playstore gegeben haben, ergo können viele ältere Smartphones tatsächlich betroffen sein auch wenn man nur Playstore Apps geladen hat.

Es ist lediglich AB JETZT sicher wenn man das Häckchen gesetzt hat, das ist ein Unterschied. Man hat Google Anfangs viel verziehen mit Android, aber jetzt im Jahr 2013 gibt es IMMER noch keinen Weg Herstellerunabhängig Teilupdates aufzuspielen. Das mit den 18 Monaten Updategarantie wurde nichts, und jetzt werden Google Edition Phones auch nur in den USA angeboten. Die ruhen sich zu sehr auf ihrem Erfolg aus. Man kann diesen Umstand zurecht kritisieren, solche Fälle bieten eben Gelegenheit darauf aufmerksam zu machen.

Für die meisten Leute ist das Thema sowieso "schwarze Magie", wie bei ihren Computern eben auch, da wird weder geupdated noch mal aufgeräumt, die Systeme bleiben über Jahre infiziert wenns denn mal soweit ist.

 

[Merle]

Mir fehlt da irgendwo auch der Skandal...
Ist wie nach einem Jailbreak bei IOS zu Fragen, wieso "der Typ da" nun SSH Zugriff auf mein Handy hat.

Zur News selbst: Die Fragmentierung ist echt ein Problem bei Android. Kompletter Umbau oder festgelegte Hardwareanforderungen und Herstellerverpflichtung zum Update könnten eine Folge sein... Um dem entgegenzuwirken.

 

[futzi]

Das Problem ist die mißlungene Betriebssystem-Architektur, die es nicht zulässt - genauso wie bei Desktop-Systemen - die Updates unabhängig vom Hardwarehersteller auszuliefern.

Ich frage mich schon seit längerem wieso Google Android überhaupt strukturell so angelegt hat, das sind doch eigentlich recht fitte Programmierer und müssten das Problem erahnt haben oder? Schuld an der Misere haben ja eigentlich eh die Hersteller wie Samsung, HTC etc., weil die ihre alten Modelle einfach nicht pflegen aber das hätte man sich doch vorher denken können und entsprechende Maßnahmen ergreifen um zumindest Sicherheitspatches unabhängig von der BS Version installieren zu können. Das geht doch beim Desktop Linux auch. Ich versteh's nicht.

 

[Euphoria]

Also betrift diese Lücke nur die gerooteten und geromten Version und ich kann noch ein bissel mit meinem 4.1.1 Leben ,weil ich brauche mein Handy noch ein Weilchen ,weil ich oft unterwegs bin ,so auch mit meinem Tablet ?

Nein eben nicht. Es reicht schon den Hacken bei "Unbekannte Quellen" zu setzen.

 

[UNDERESTIMATED]

Witzigerweise erhöhst du damit die Chance dem zum Opfer zu fallen und nicht umgekehrt!
[....]es trifft die Leute die mit den Geräten rumspielen (root, roms usw) und deshalb die Option aus fremden Quellen zu installieren aktiv haben.
.

Doppelnein.

Root Zugriff hat nur wem man es erlaubt und unbekannte Quellen sind bei CM auch per Standard deaktiviert.

Ganz nebenbei gibt es bei CM Updates mittlerweile sogar fast schneller als für Nexus Geräte - jedenfalls ist generell das Sideloading in den CM Kernels (der eigentliche Fehler des ganzen) entweder gar nicht mehr aktiv oder nur noch durch Kernelkonfig aktivierbar.

 

[Madman1209]

Hi,

Schuld an der Misere haben ja eigentlich eh die Hersteller wie Samsung, HTC etc., weil die ihre alten Modelle einfach nicht pflegen

Richtig erkannt. Warum genau hier viele meinen, Google "muss" jetzt dies und das erschließt sich mir daher nicht. Das System ist Open Source. Ich kann als Entwickler nicht jede Verwendung meiner Open Source Software und jede mögliche Abwandlung davon im Vorfeld schon erkennen. Sofern die Hersteller das System nicht so massiv verändern, wie Samsung oder HTC das tun, solange stellen Updates auch kein Problem dar. Dass der Ball hier immer zu Google gespielt wird ist in meinen Augen falsch.

Es steht jedem Frei, sich ein System ganz nach seinem / ihrem Geschmack zu kaufen. Wenn ich mir ein eigenes Linux baue, einen eigenen Kernel kompiliere und ein eigenes Framework verwende kriege ich eben auch nicht die offiziellen Kernel- und Frameworkupdates, das gebietet die Logik.

Wenn sich Samsung dann nach einem halben Jahr nicht mehr um die zahlenden Kunden kümmert sollte man Ihnen einen Denkzettel verpassen, und zwar da wo es weh tut: Geld.

Und zur News: Wenn das wirklich die einzigen Probleme von Android sind bin ich ja froh im Google-Lager zu sein Das als "schwere Lücke" aufzubauschen... naja, wer's braucht...

VG,
Mad

 

[foofoobar]

Nexus-Geräte müssten das Update doch in Kürze erhalten, oder irre ich mich da?

Auch das Nexus S ?

 

[Turrican101]

Es steht jedem Frei, sich ein System ganz nach seinem / ihrem Geschmack zu kaufen.

Aber nicht bei Smartphones, denn da kommen halt 99% aller Geräte mit Android raus. Und als Alternative gibts nur 1 iPhone und ne Hand voll Lumias... Ganz toll.
Da hab ich also fast gar keine Wahl als Android zu nehmen und mich dann mit den ganzen Nachteilen abzufinden.

 

[GrinderFX]

Macht euch doch keine sorge, die meisten haben den Hake sowieso drin, dass keine fremdapps installiert werden dürfen. Und diejenige die ihn extra rausgemacht haben sollte ihr Risiko kennen!!

Und was ist, wenn eine app aus dem Appstore infiziert ist?
Wer kontrolliert das?
Google?
Sicher nicht!
Und was dann?
Das Problem ist, dass Computerbase absichtlich falsche Dinge schreibt und der Normaluser es tatsächlich glaubt!

 

[Sputnik 1]

Für mich hatte iOS nur Nachteile. Vor allem ITunes und Synch nur mit einem einzigen Rechner. Aber lassen wir das.

Was mich interessiert ist wie ich bei CM10.1 sehe ob der Exploit bei mir geht oder nicht. In den Patchnotes zur gestrigen Nightly habe ich nichts lesen können darüber.

Ich hab CM10.1 + Dorimanx Kernel V9.33

Sputnik

 

[empaty]

Nein eben nicht. Es reicht schon den Hacken bei "Unbekannte Quellen" zu setzen.

Aber dieser ist doch Standard ausgeschaltet ,also warum sollte ich es dann ändern ?

Jetzt versteh ich den Sinn nicht ganz dadrin .....

Oder greift ein dritter Fremder dadrauf zu und macht diesen Hacken einfach so rein ?

Ebenfalls habe ich mit meinem Handy keinerlei Root Rechte ,also es ist kein Admin vorhanden, ich denke es ist von CB schon etwas überspitzt hier geschrieben und sinnloses Angst machen ,derer die Android in einer älteren Version drauf haben und kein S4 besitzen.

Und machen wir uns nichts vor Android ist ein Linux,zwar mit etwas abgeänderten Kern und sofern man diesem keine Admin/Root Recht gibt ,wird es nichts anderes sein wie beim PC/Linux auch.

Dann müssten ja alle Linux PCs die einen älteren Kernel drauf haben ,als Beispiel Debian in Gefahr sein und verseucht.

 

[Madman1209]

Hi,

@Turrican101

Aber nicht bei Smartphones, denn da kommen halt 99% aller Geräte mit Android raus. Und als Alternative gibts nur iPhone [...]
Da hab ich also fast gar keine Wahl als Android zu nehmen und mich dann mit den ganzen Nachteilen abzufinden.

Das ist doch Käse. Es ging darum, dass du bei Android selber eine Wahl hast ob du ein "echtes", nacktes Android möchstest, bei dem dir der Entwickler die Updates liefert, oder ob du ein von Samsung / HTC verbasteltes Android möchstest, bei dem nicht sicher ist, ob du in einem halben Jahr überhaupt noch Updates kriegst. Darum ging es in meinem Beitrag, nicht "Android oder was anderes".

VG,
Mad

 

[LinuxMcBook]

Und was ist, wenn eine app aus dem Appstore infiziert ist?
Wer kontrolliert das?
Google?
Sicher nicht!
Und was dann?
Das Problem ist, dass Computerbase absichtlich falsche Dinge schreibt und der Normaluser es tatsächlich glaubt!

Junge, du hast kein Plan!

Natürlich ist google in der Lage automatische alle APKs, die sie zum Download anbieten, dahingehend zu überprüfen, dass sie auch nur den App-Key besitzen, den sie besitzen sollen.

 

[Euphoria]

@empaty
Naja du hast mit root, custom ROMs usw. angefangen.
Ich wollte damit nur verdeutlichen, dass es nichts damit zu tun hat und jedes Stock ROM davon betroffen sein kann!
Es kann jedes Gerät davon betroffen sein, außerdem ist die Option für unbekannte Quellen in 99% der ROMs auch deaktiviert und root Zugriff muss man bestätigen.
Übrigens wenn man root Zugriff freigibt, kann braucht die App gar keine Sicherheitslücken, da sie sowieso alles darf...

Und ja man braucht den Hacken manchmal, da manche Apps wie z.B. Adblocker im Play Store nicht verfügbar sind. Es gibt aber auch weitere interessante Apps, die nicht im Store angeboten werden

 

[Grantig]

Es ging darum, dass du bei Android selber eine Wahl hast ob du ein "echtes", nacktes Android möchstest

Dann schränkst du aber deine Auswahl extrem ein (auf eine Hand voll Nexus).
Die Alternative ist, ein 3rd Party Device kaufen und sich vom Hersteller auf der Nase rumtanzen lassen. Das kanns ja irgendwie auch nicht sein.

Imho ist das die Schuld von Google, da sie den Herstellern keine Richtlinien mitgeben und auch keine Möglichkeit z.B: Themes zu installieren, ohne das ganze System verbasteln zu müssen.
Sie könnten auch ganz einfach sagen, ein Hersteller muss die Möglichkeit bieten in Vanilla Android zu booten, oder er darf keine Google Apps mit ausliefern.

Es kann jedenfalls nicht Sinn der Sache sein, dass die Hersteller den Kunden nach Strich und Faden verarschen.

Natürlich ist google in der Lage automatische alle APKs, die sie zum Download anbieten, dahingehend zu überprüfen, dass sie auch nur den App-Key besitzen, den sie besitzen sollen.

Sie können nur erkennen ob eine App mit einem Schlüssel signiert ist, mit dem sie nicht signiert sein dürfte. Ich hab aber im anderen Thread zu diesem Thema schon beschrieben wie man evtl. trotzdem eine App in den Store bringen kann die die Lücke nutzt, ohne dass der Bouncer es erkennt.

 

[empaty]

@ Euphoria Das mit dem Root kenne und weiß ich vom PC her und ist wiegesagt nicht viel anderst ,daher ist ja Ubuntu auch so eingestellt das dieses ausgestellt ist was ich auch gut finde.

Wegen dem Stock ROM und Root, war auf dem davor geschriebenen Beitrag bezogen .

Und das beste Beispiel dafür ist eine "Rolling Release Version" ,was ja auch schon oft im PC Bereich Thema war.

Es liegt hier also nicht am Kern ,ehr an den Programmen die (ein) gepflegt werden müssen und das immer.

Firofox = was bei Debian Iceweasel heißt wäre so eine eingepflegte Version ,ob es nun zwingend besser ist ,steht schon wieder auf einem ganz anderen Blatt Papier.

Und sofern ich weiß macht Google das doch auch und Pflegt seine Apps im Appstore ,deswegen verstehe ich diese etwas wirre Aufregung nicht dadrum ,ich findes es wurde hier von CB etwas falsch interpretiert und es wurde unnötig was aufgewühlt was nicht sein muß.

Kann man jetzt wieder auch so sehen ,das es nur als Panikmache dient und die Leute sich teure Samsung Geräte kaufen sollen oder Nexus, nur damit sie Android 4.2.2 besitzen(Auf ihrem Gerät drauf haben ).

Schon traurig wenn man dafür Werbung machen muß und das hier auch noch von CB unterstützt wird dann .

Edit:
Obwohl ich grade sehe das ,daß Huawei Ascend P6 ja auch schon das aktuelle Android drauf hat und deutlicher billiger ist,naja kann man nun so oder so sehen.

 

[Turrican101]

Das ist doch Käse. Es ging darum, dass du bei Android selber eine Wahl hast ob du ein "echtes", nacktes Android möchstest, bei dem dir der Entwickler die Updates liefert, oder ob du ein von Samsung / HTC verbasteltes Android möchstest

Machts das besser? Dann hab ich halt statt 99% Android und 1% andere die Wahl zwischen 99% verändertes Android und 1% Nexusgeräte.

 

[Madman1209]

Hi,

@Grantig

Es kann jedenfalls nicht Sinn der Sache sein, dass die Hersteller den Kunden nach Strich und Faden verarschen.

Sehe ich absolut genauso, aber das ist doch nicht per se die Schuld von Google? Die Hersteller könnten sich auch an die eigene Nase packen. Das System ist nun mal im moment so aufgebaut. Samsung hätte ja durchaus auch einfach nur einen Launcher machen können, ohne ihr Touchwiz Framework. Dann wäre das Update darunter auch kein Problem.

Dann schränkst du aber deine Auswahl extrem ein (auf eine Hand voll Nexus).

Dann hab ich halt statt 99% Android und 1% andere die Wahl zwischen 99% verändertes Android und 1% Nexusgeräte.

Das S4 und das HTC One gehen doch jetzt schon in die Richtung, in die es wahrscheinlich auch in Zukunft weiter geht: Gerät mit "sauberem" Android und Gerät mit "verbasteltem" Android.

Und selbst wenn nicht: ja, man schränkt sich ein. Und man kann sich entscheiden, ob man mit einem der Nexus Geräte leben kann oder mit den nicht vorhandenen Updates leben will Wie ich schon sagte: jeder wie er oder sie es braucht

VG,
Mad