News QualPwn: Lücke in Snapdragon-SoCs erlaubt Angriff auf Android

Frank · 6. August 2019

Unter der Bezeichnung „QualPwn“ haben Sicherheitsexperten vom chinesischen Tencent Schwachstellen in Qualcomm-Prozessoren veröffentlicht. Qualcomm und Google haben bereits Updates veröffentlicht, damit Android über die Lücken nicht mehr angegriffen werden kann.

Zur News: QualPwn: Lücke in Snapdragon-SoCs erlaubt Angriff auf Android

konkretor · 6. August 2019

90% der Android Benutzer werden das Update nie sehen

Kleiner69 · 6. August 2019

Stimmt, denn 90% der Android-Nutzer haben auch keinen SD835/845.

q-rip · 6. August 2019

@konkretor dem würde ich mal widersprechen, der 835 und 845 war viel in Topmodellen verbaut für die es auch noch Updates gibt. Ob sie dann installiert werden ist aber eine andere Frage.

AssembIer · 6. August 2019

konkretor schrieb:
90% der Android Benutzer werden das Update nie sehen

So sieht es leider aus...

Nicht falsch verstehen, ich werde privat auch weiterhin auf Geräte mit Android setzen.

BamLee2k · 6. August 2019

Die EU sollte sich bei so etwas einschalten und die Hersteller zu einem schnellen Update ZWINGEN. Wenn die hier verkaufen, sollen die auch Sicherheit bieten.

nille02 · 6. August 2019

q-rip schrieb:
@konkretor dem würde ich mal widersprechen, der 835 und 845 waren viel in Topmodellen verbaut für die es auch noch Updates gibt. Ob sie dann installiert werden ist aber eine andere Frage.

Das Z2 Force von Motorola/Lenovo hängt noch beim 1. Februar Update. Das Android 9 Upgrade ist versprochen, aber bisher noch nichts in Sicht. Ich glaube auch nicht mehr daran das es kommen wird.

Mr.Tentakeltyp · 6. August 2019

Habe vorher davon erfahren und glücklicherweise, als Besitzer eines Pixel 2, war der August Sicherheitspatch schon verfügbar.. auch ein Grund warum es damals dieses Smartphone geworden ist..

Ati_gangster · 6. August 2019

Ziemlich spezielle Lücke. Die Chance, den Hauptgewinn im Lotto zu knacken, dürfte höher liegen als das jemand die Lücke erfolgreich ausnutzt. Mache mir auf meinem SDM845 Smartphone keine Sorgen.

teufelernie · 6. August 2019

konkretor schrieb:
90% der Android Benutzer werden das Update nie sehen

Jo und das ist daran sehr tragisch. Fragmentation killt dieses Ökosystem irgendwann.

Begreifen 90% der User aber erst, wenn ihre Nacktfotos etc. im Netz auftauchen, dann ist das Geheule groß. Mein Mitleid wird sich aber in Grenzen halten.

Sowas gab es doch aber schonmal mit modifizierten Packetdaten im Wifi? Ich weiß noch das ich irgendwas von meinem Note3 ziemlich krank mit Speicheradressabgabe geflasht hatte, nachdem ich mir ein Stück Firmware aus dem Netz besorgt hatte...

Ergänzung (6. August 2019)

Ati_gangster schrieb:
Ziemlich spezielle Lücke. Die Chance, den Hauptgewinn im Lotto zu knacken, dürfte höher liegen als das jemand die Lücke erfolgreich ausnutzt. Mache mir auf meinem SDM845 Smartphone keine Sorgen.

Optimismus ist ein Datensicherheitskonzept, für das du für ein Handy Geld ausgegeben hast? Cool!

Piktogramm · 6. August 2019

@Frank
https://thehackernews.com/2019/08/android-qualcomm-vulnerability.html
Nicht nur die 800er sind betroffen. Das betrifft nahezu alle neueren Qualcom SoCs / Modems
edit: thehackernews verlinkt auch direkt auf Qualcom wo noch mehr Informationen zu holen sind

@Ati_gangster
Wieso speziell? Bisher sind keine Details bekannt (soweit ich weiß kommt die Veröffentlichung erst in 2 Tagen: https://www.blackhat.com/us-19/brie...ng-qualcomm-wlan-and-modem-over-the-air-15481). Die Kurzbeschreibung klingt aber so, dass ohne größere Hürden Angreifer vollen Systemzugriff bekommen können. Das klingt eher so, als wäre das in spätestens einem Jahr in jeder Exploitsammlung enthalten.

grossernagus · 6. August 2019

Ati_gangster schrieb:
Ziemlich spezielle Lücke. Die Chance, den Hauptgewinn im Lotto zu knacken, dürfte höher liegen als das jemand die Lücke erfolgreich ausnutzt. Mache mir auf meinem SDM845 Smartphone keine Sorgen.

Also ich finde das ist schon eine ziemlich krasse Lücke, die auch nicht nur irgendwie in der Theorie gefährlich ist.

(-_-) · 6. August 2019

teufelernie schrieb:
Begreifen 90% der User aber erst, wenn ihre Nacktfotos etc. im Netz auftauchen, dann ist das Geheule groß. Mein Mitleid wird sich aber in Grenzen halten.

Stimmt, darum sollte man auf das total sichere Apple-Ökosystem setzen.
War da nicht was?

Termy · 6. August 2019

Echt bittere Lücke, absolut unverantwortlich von Tencent, dass sowas veröffentlicht wird bevor die Hersteller breiter die Updates ausgerollt haben

(ich bezweifle jetzt einfach mal, dass die Hersteller benachrichtigt wurden und sich gegen ein Update geweigert haben und die Lücke deswegen veröffentlich wird)

nille02 · 6. August 2019

Termy schrieb:
Echt bittere Lücke, absolut unverantwortlich von Tencent, dass sowas veröffentlicht wird bevor die Hersteller breiter die Updates ausgerollt haben (ich bezweifle jetzt einfach mal, dass die Hersteller benachrichtigt wurden und sich gegen ein Update geweigert haben und die Lücke deswegen veröffentlich wird)

Es ist doch im August Update von Google enthalten. Darauf haben die Hersteller doch auch schon eher Zugriff. Und wenn du auf die Hersteller warten willst, werden wir niemals was von den Lücken hören. Das die Lücken letztlich veröffentlicht werden, baut doch erst den Druck auf.

Piktogramm · 6. August 2019

@Termy
Die Fehler wurden im März / April bei Qualcomm (dem betroffenem Hersteller) eingereicht. Entsprechende Fixes stehen zur Verfügung, Qualcoms Advisories gingen an alle Kunden und die Öffentlichkeit und die branchenüblichen 90Tage Schutzfrist sind rum.
Das ist sauer umgesetzter Branchanstandard!
Details zum Hack die Angreifern helfen gibt es zur Blackhat am 8. diesen Monats veröffentlicht.[1]

Wer es (wie üblich) verkackt sind die Smartphonehersteller, deren propritäres Gefrickel und Profitorientierung Updates verhindern.

[1] Mag wir fix wer ein BlackHat Ticket überhelfen inkl. Flug, Übernachtung und Taschengeld? Ich werde brav berichten

Sebastian_12 · 6. August 2019

nille02 schrieb:
Das Z2 Force von Motorola/Lenovo hängt noch beim 1. Februar Update. Das Android 9 Upgrade ist versprochen, aber bisher noch nichts in Sicht. Ich glaube auch nicht mehr daran das es kommen wird.

Das normale moto z2 force bekommt kein android 9 nur die verizon variante =)

Ati_gangster · 6. August 2019

teufelernie schrieb:
Optimismus ist ein Datensicherheitskonzept, für das du für ein Handy Geld ausgegeben hast? Cool!

Mein Datensicherheitskonzept:
brain.apk, nicht jede "ich-verrate-dir-wie-alt-du-wirst" App installieren, keine öffentlichen Wlans benutzen usw.

grossernagus schrieb:
Also ich finde das ist schon eine ziemlich krasse Lücke, die auch nicht nur irgendwie in der Theorie gefährlich ist.

Erstmal muss sich jemand die Mühe machen.
Wie groß ist der Anteil an Smartphones mit betroffenen SOC's. (Neben Apple, Exynos, Kirin, Mediatek)
Wie viele von denen nutzen öffentliche WLAN zur richtigen Zeit am richtigen Ort?

EasyRick · 6. August 2019

Andererseits ist jeder der in öffentlichen Wlans ohne Client Isolation unterwegs ist, selber Schuld.
Ich hätte mit diesen Leuten, im Falle eines Angriffs, genauso wenig Mitleid, wie mit Leuten ohne Backup, die einen Datenverlust beklagen.

Lord B. · 6. August 2019

Sehr schön, Tencent schwärzt den Ami an, da muss der morgendliche Tee in China ja wie Ambrosia runter gegangen sein 🤣

Sicherheitspatch August ist auf meinem Mate20 mit Kirin übrigens drauf 🤣

News QualPwn: Lücke in Snapdragon-SoCs erlaubt Angriff auf Android

Chefredakteur

Artikeldetektiv

Commander

Ensign

Lt. Junior Grade

Lt. Commander

Commander

Lt. Junior Grade

Ati_gangster

Gast

Commander

Admiral

Banned

Commander

Commodore

Commander

Admiral

Lt. Commander

Ati_gangster

Gast

Lieutenant

Captain

Ähnliche Themen

Passend zum Thema