News QualPwn: Lücke in Snapdragon-SoCs erlaubt Angriff auf Android

[Weyoun]

Jeder hat das Recht sich zu bilden. Ignoranz ist arrogant!

Komm mal von deinem hohen Ross herunter!

 

[Darkblade08]

Wieder ein Grund mehr One Plus zu kaufen.

Solide Hardware mit bester Performance und immer aktuelles Android.
Preislich stabil und bezahlbar.

Immer aktuell stimmt hier auch nicht. Das OnePlus 6T für die Arbeit hängt bei Juni fest.

 

[svelle]

Warum man die Lücke genau jetzt veröffentlichen muss und nicht erst darauf wartet dass das Sicherheitsupdate der breiten Masse auch tatsächlich schon verfügbar ist, verstehe ich nicht und finde es unverantwortlich von Seiten Googles.

Die Lücke ist seit mehreren Wochen bekannt, ein Patch dafür nicht wirklich aufwändig und warum genau sollte Google jetzt noch darauf warten, dass die OEMs nicht ausm Knick kommen? Um die Anwender zu verschonen? So kann man wenigstens gegen die Lücke arbeiten und sich ggf. schützen (WLAN ausmachen, Gerät ausschalten/wechseln) wenn man mit sensiblen Daten auf dem Telefon hantiert.
Die Vergangenheit hat mehrfach gezeigt, dass sich an deren Verhalten nichts ändert, egal ob Google mit der Veröffentlichung wartet oder nicht.

 

[linuxfan]

Man, ist das wieder eine nervige Lücke. Wer keine Updates (mehr) bekommt, hat jetzt ein größeres Problem. Wird aber schnell in Vergessenheit geraten bzw. in den Alltag von Normalnutzern nicht durchdringen. Ich sehe schon etliche verwanzte Geräte vor mir, und keiner der Benutzer wird es bemerken. Hat sich ja beim Surfen stets korrekt verhalten, nur einmal unterwegs im falschen WLAN gewesen. Vielleicht sogar automatisch aus der Tasche heraus, ohne es überhaupt aktiv genutzt zu haben.

 

[DaishoCB]

Wenn genau solche Probleme nicht waeren wuerde ich ja liebend gerne ein Android Phone nutzen. Apple ist ja im allg. nicht gerade mein Favorit aber was die Updates angeht einfach um laengen besser (und auch nach Jahren noch). Fuer mich aktuell der entscheidende Faktor.
Klar kann ich auf oxygen oder so setzen aber auch da ist es mit den grossen Versionsspruengen dann mit Aufwand verbunden....

Android (Google), please fix.

 

[EasyRick]

Ich wette, es gibt genug IT-Nerds, die jeden Trick draufhaben, wie sie ihren PC und das Smartphone vor Schädlingen schützen können, aber z.B. bedenkenlos rohes Hühnerfleisch waschen.

Wenn man nicht weiß was man tut, heißt es halt lernen durch Schmerzen.

Komm mal von deinem hohen Ross herunter!

Warum sollte ich?

Klar, die "Politik" der Smartphonehersteller ist für den Eimer, aber gerade deswegen sollte man sich informieren.
Es gibt genug Medienberichte über diese Dinge, die einem zu denken geben sollten. Sogar in der Blödzeitung!

 

[Herdware]

Wenn man nicht weiß was man tut, heißt es halt lernen durch Schmerzen.

Oder sich von anderen beraten und helfen lassen, die sich mit dieser Sache auskennen. Denn sonst würde die Menschheit diesen harten Lernprozess wohl nicht überleben. 😉

Es kann wie gesagt nicht jeder in jedem Fachbereich Experte sein. Statt dessen müssen die jeweiligen Experten ihren Job machen und dafür sorgen, dass die in diesem Bereich Ahnungslosen nicht zu Schaden kommen.

 

[OhNeinOhDoch]

keine Sorge, wirst du weiterhin

ja eh mein 200€ Mediatek Device hat immerhin schon Android Q

 

[Jesterfox]

Die Lücke ist seit mehreren Wochen bekannt, ein Patch dafür nicht wirklich aufwändig und warum genau sollte Google jetzt noch darauf warten, dass die OEMs nicht ausm Knick kommen?

Vor allem müsste Google kann auch die Auslieferung des Patches für die eigenen Geräte zurückhalten. Denn sobald der Patch ausgeliefert wird kann die Lücke als öffentlich angesehen werden, denn ein Reverse-Engineering der Patches um zu sehen ob da ausnutzbare Lücken existieren ist heutzutage doch Standard (vor allem wenn man weiß das es auch weiterhin viele ungepatchte Systeme geben wird)

 

[teufelernie]

Wer seine Nacktfotos auf dem Smartphone aufbewahrt, dem ist eh nicht mehr zu helfen.

Das mag stimmen. Aber für 99% der Fotos ersetzen die Geräte ne Digitalkamera.
Und Faulheit siegt und bringt dich irgendwann in Probleme.

Ergänzung (7. August 2019)

Mittlerweile hat Samsung durchaus solide Mittelklassegeräte und patcht zumindest 2-monatlich oder quartalsweise, soweit ich weiß

Also was da auf jeden Fall drin steht, ist der String, in dem "Security Update Year, Month, Day" drin steht.
Ob es wirklich ein Patch war, da wäre ich mir nicht so sicher:

Quelle

 

[svelle]

Wenn genau solche Probleme nicht waeren wuerde ich ja liebend gerne ein Android Phone nutzen. Apple ist ja im allg. nicht gerade mein Favorit aber was die Updates angeht einfach um laengen besser (und auch nach Jahren noch). Fuer mich aktuell der entscheidende Faktor.
Klar kann ich auf oxygen oder so setzen aber auch da ist es mit den grossen Versionsspruengen dann mit Aufwand verbunden....

Android (Google), please fix.

Die Lücke ist bereits gefixt, da kann Google auch nicht mehr machen außer die Hersteller zu benachrichtigen (was sie bereits getan haben) und hoffen, dass sie das patchen.

Apple hat übrigens erst letzte Woche 5 schwere Sicherheitslücken im aktuellen iOS gehabt, wovon 4 geschlossen wurden. Alle 5 haben das ausführen von Schadcode per iMessage ermöglicht. Das ist exakt das gleiche in grün.

 

[knoxxi]

Alle 5 haben das ausführen von Schadcode per iMessage ermöglicht. Das ist exakt das gleiche in grün.

Ohne es verifiziert zu haben, das kann gut sein. Shit Happens, ist halt Software. Aber es dauert halt nicht Jahre bis alle das Update haben.

 

[DaishoCB]

Genau das @knoxxi . Ich bin nicht von 2 Parteien abhaengig sondern nur von einer und die eine ist einigermassen fix. Das Problem bei Android, ich muss auf Google warten und dann muss ich auf den Hersteller warten und wenn ich Pech habe entscheiden die nach ein, max. zwei Jahren das mein Telefon dann nicht mehr supportet wird.
Bugs haben beide, ist normal, die Frage ist, wie lange dauert es bis der Bug auf MEINEM Telefon gefixt ist und ob er ueberhaupt auf meinem Telefon gefixt wird. Und an dem Punkt gewinnt leider Apple.

 

[Affenzahn]

Vor allem müsste Google kann auch die Auslieferung des Patches für die eigenen Geräte zurückhalten. Denn sobald der Patch ausgeliefert wird kann die Lücke als öffentlich angesehen werden, denn ein Reverse-Engineering der Patches um zu sehen ob da ausnutzbare Lücken existieren ist heutzutage doch Standard

Auch wahr.

Wenn die Industrie sich nicht drum schert, muss halt wieder der Gesetzgeber aktiv werden.
Nachher heißts dann wieder "Die doofe EU mit ihren blöden Verordnungen macht xyz kaputt".

Offizielle Sicherheitspatches müssen 2 Jahre Lang gewährleistet werden (Keine Versionsupgrades wie z.B. auf Oreo, nur Sicherheitspatches. Das kann auch ein Startup)
Wer dagegen verstößt darf direkt den Gewinn (oder 50+%) den das Produkt in Europa eingefahren hat an die EU weiter reichen, bei 3 Strikes gibt's n Verkaufsstopp für die komplette Marke über 2 Jahre.

Damit gäbe es aber keine Telefone mehr für unter 300€, was direkt mal den armen Teil der Bevölkerung von technischen Errungenschaften (naja, streitbar..) ausschließt.

 

[grossernagus]

Offizielle Sicherheitspatches müssen 2 Jahre Lang gewährleistet werden

Viel zu kurz. Ich fordere minimum 5 Jahre.

Damit gäbe es aber keine Telefone mehr für unter 300€

Ist natürlich totaler Unsinn, mein Mi A1 hat sogar weniger als 200€ gekostet.

 

[svelle]

Genau das @knoxxi . Ich bin nicht von 2 Parteien abhaengig sondern nur von einer und die eine ist einigermassen fix. Das Problem bei Android, ich muss auf Google warten und dann muss ich auf den Hersteller warten und wenn ich Pech habe entscheiden die nach ein, max. zwei Jahren das mein Telefon dann nicht mehr supportet wird.
Bugs haben beide, ist normal, die Frage ist, wie lange dauert es bis der Bug auf MEINEM Telefon gefixt ist und ob er ueberhaupt auf meinem Telefon gefixt wird. Und an dem Punkt gewinnt leider Apple.

Es ist aber nicht so als sei das Fehlen oder langsame Ausliefern von Sicherheitsupdates ein neues Problem im Android Ökosystem. Es wird auch praktisch jedes mal diskutiert wenn eine größere Sicherheitslücke gefunden wird. Aber am Ende verschließen trotzdem wieder alle die Augen und Ohren und kaufen weiter bei den Herstellern ein welche sich eben nicht um ihre Geräte kümmern ¯\(ツ)/¯

Außerdem verstehe ich noch immer nicht wo hier auf Google gewartet werden muss. Die Sicherheitslücke ist noch vor Veröffentlichung gepatcht worden, im Kernel vermutlich noch viel früher, die einzige Partei auf die du wartest ist dein Smartphonehersteller.

 

[Piktogramm]

Außerdem verstehe ich noch immer nicht wo hier auf Google gewartet werden muss. Die Sicherheitslücke ist noch vor Veröffentlichung gepatcht worden, im Kernel vermutlich noch viel früher, die einzige Partei auf die du wartest ist dein Smartphonehersteller.

Qualcomm entwickelt ihre Treiber großteils außerhalb des Kernels. Da wurde also nichts im Kernel gefixt, im schlimmsten Fall bekommen die Gerätehersteller nur Binärblobs für die Firmware und Treiber und müssen die Integration erneut vornehmen. So richtig toll ist das oft nicht, vor allem wenn noch andere Hardware hat die nur Treiber als Blobs liefern. Das wird schnell haarig.

An der Stelle ist es im Übrigen schade, dass Intels Modemsparte an Apple geht. Intels XMM Modems haben quelloffene Treiber für Linux. Großteils unter GPLv2 und die GPL wird von Apple ja intensiv gehasst..

 

[.Silberfuchs.]

Immer aktuell stimmt hier auch nicht. Das OnePlus 6T für die Arbeit hängt bei Juni fest.

Neues Update mit August-Fix wird momentan für das 6/6T ausgerollt https://forums.oneplus.com/threads/...oxygenos-9-0-8-ota-for-the-oneplus-6.1087788/

 

[Darkblade08]

Neues Update mit August-Fix wird momentan für das 6/6T ausgerollt https://forums.oneplus.com/threads/...oxygenos-9-0-8-ota-for-the-oneplus-6.1087788/

Danke für den Hinweis

 

[garfield0603]

Sony hat ebenfalls damit begonnen den August-Fix zu verteilen:
http://www.xperiablog.net/2019/08/1...security-patches-to-a-range-of-xperia-phones/