News Schwere Sicherheitslücke in allen Android-Versionen

Und wenn schon. Im Herbst erblickt Android 5 sowieso das Licht der Welt und mit ein bisschen Glück, wird es das erste Android, welches herstellerunabhängig installiert werden kann.
Falls nicht, wird eben auf Roms zurück gegriffen.

In Android 5 wird es diese Schwachstelle sicher nicht mehr geben.
 
Es wird immer ein Problem von Android bleiben wie es bei Windows ist. Man muss sich darüber beim Kauf im Klaren sein.
 
Yuuri schrieb:
Sicher ist es keinesfalls, schließlich muss die App erstmal erkannt werden, die die Lücke nutzt und Google muss sie rausschmeißen...

Ohne dass Google die Apps nicht sperrt, ist die Lücke weiterhin ausnutzbar.

Seit mehreren Monaten ist das sideloaden von APK Dateien nicht mehr erlaubt. Erstes prominentes Opfer dieser Entscheidung war Facebook, die ihre Facebook Messenger und Facebook Home apps über die Hauptapplikation zum Download anboten. Die erschienen Bekanntmachung dieses Bugs lässt vermuten, dass diese Änderung der Nutzungsbestimmungen und Sicherheitsmechanismen zur Aversion dieses Fehlers eingeführt wurden und nicht um Facebook zu 'ärgern' wie einige Nutzer damals vermutet hatten. Es ist anzunehmen dass Apps die APKs sideloaden schon durch den automatisierten Code check beim PlayStore Upload herausgefiltert werden. Ich versuche heute Abend mal eine zu deployen und berichte ; =)
 
Sive schrieb:
Jetzt auf einmal ist man "dumm", wenn man es nutzt?

Das ist aber kein App- oder Smartphonespezifisches Problem, sondern ein IT allgmeines Problem.

Wenn ich mir von irgendeiner Website etwas runterlade, dann brauch ich mich auch nicht zu beschweren.

Das gleiche gilt für App-Stores, wenn ich einen Store nutze, der keine Sicherheitsvorkerhung hat, dann hab ich halt pech gehabt.

Und damit wären wir beim aktuellen Thema Sicherheit vs. Freiheit.
 
Hot Dog schrieb:
Falls nicht, wird eben auf Roms zurück gegriffen.
...die dann ganze andere, nicht von Google fixbare Sicherheitslücken haben?

Sportlich.

Ich für meinen Teil bin froh wenn ich mich nur am PC mit Virenscanner, Antimalware und Firewalls rumschlagen muss. Bein Telefon habe ich es dann doch gerne, wenn es einfach funktioniert und ich mir keine Gedanken darum machen muss, dass TowerDefense XY mein Konto leer räumt oder nach China telefoniert...
 
Wer Alternative App-Shops nutzt ist also dumm... also jeder, der die Amazon-App-Shop-App drauf hat, um da die Gratis apps abzustauben und kindle Bücher zu kaufen...
 
"Google Play Store" ??? WTF sowas habe ich nicht. Meiner heißt "Android Market", aber ich habe ja noch das brandaktuelle Android 2.1 :D

Für mich das letzte Smartphone mit Motoblur-Android von Motorola, das nächste muss unbedingt ein originales Stock Google-Android haben.
Ich hasse sowas, kann z.B den Firefox Browser nicht nutzen weil es wohl Android 2.2 oder höher braucht.
 
der dude schrieb:
Ich nutze Cyanogenmod auf meinem Nexus 4, wurde dort bereits die Sicherheitslücke geschlossen? Die Herrschaften sind ja immer sehr schnell mit dem Integrieren von Funktionen und Sicherheitsangelegenheiten.
Soweit ich weiß noch nicht, allerdings gehe ich stark davon aus, dass das in den nächsten Tagen passieren wird.
 
WTF sowas habe ich nicht. Meiner heißt "Android Market", aber ich habe ja noch das brandaktuelle Android 2.1

was hast du denn für eine gurke ? soweit mir bekannt ist sollte doch jedes moto phone wenigstens froyo haben
 
Diese Lücke existiert seit Jahren und ist bei Google bereits seit Februar bekannt. Es gibt keinen commiteten Fix. Deshalb wird auch CM, etc. noch davon betroffen sein.
Wenn ich das richtig verstanden habe, ist das Problem, dass wirklich jedes vertrauenswürdige Paket befallen sein kann, da durch die Manipulation nicht die Signatur beeinträchtigt wird und daraus keine Manipulation abgeleitet werden kann.
Bei solch einer Lücke ist also JEDE Installationsquelle abseits des Play-Stores (z.B. Amazon) als nicht vertrauenswürdig zu sehen.
Die Geschwindigkeit mit der Google diese massive Lücke zu beheben versucht deutet darauf hin, wie wichtig es Ihnen ist, dass Benutzer weiterhin die freie Wahl zwischen Play-Store und anderen Quellen haben. Es spielt Google doch nur in die Karten, wenn nun empfohlen wird ausschließlich den Play-Store zu verwenden, bei dem man nur noch Bewertungen abgeben kann, wenn man Google+ hat, was mich auch zunehmend ärgert. Ein Grund mehr demnächst das 'unnötige' Feature unbekannte quellen ebenfalls zu verstecken, wie bereits die USB Debugging Funktion (nützlich für ADB Pushs zum Rooten z.B.).
Und das es 99% der User nicht betrifft mag ich zu bezweifeln. Viele Rooten ihre Geräte oder installieren sich Apps die durchaus dieses 'Feature' benötigen wie z.B. Avast Mobile Security für den Diebstahlschutz.
Ich frag mich echt wieso dieses Google bei solchen Dingen unter Welpenschutz bei den meisten steht. Ein Microsoft oder Apple wäre schon längst zu Tode gebasht worden. So Formulierungen wie:
"Es gibt eine sehr kritische Sicherheitslücke, aber fürchtet euch nicht, 99% der Leute trifft es eh nicht. Beschränkt euch lediglich auf Google Apps und werdet glücklich ..."
gab es früher nie. Wenn MS ne Sicherheitslücke hätte, die alles betrifft außer MS Apps/Services ... puhh da würde es einiges an Verschwörungstheorien geben. Aber Google hat als Slogan 'Don't be evil' und dann ist sowas ausgeschlossen.
 
Zuletzt bearbeitet:
@CJay: Motorola hat inzwischen ein Android, welches sehr nah am Stock ist. Wär ja auch seltsam als Teil des Google Konzerns es komplett anders zu machen.

@Topic: schon teilweise leicht wertend in dem Artikel "desaströse Updatepolitik". Was macht das S4 eigentlich anders, dass der Fehler dort nicht auftritt?
Und seit wann ist es verwunderlich, dass Schadsoftware, die installiert wird, dem Gerät schaden kann? Das ist unter jedem System so.
 
So richtig habe ich das glaube ich noch nicht durchblickt:
können bereits installierte Apps aus anderer Quelle (gab ja bspw. auch mal ein Android Humble Bundle) also auch nachträglich noch gefährlich werden? Ist es also ratsam solche bereits vorhandenen Apps zu deinstallieren? Oder ist es nur potenziell möglich Apps im Vorfeld zu verseuchen (was ich bei offiziellen Drittanbietern ja grundsätzlich ausschließen würde, daher würde ich dann den Tipp auf solche Quellen zu verzichten nicht verstehen...)?
 
BOBderBAGGER schrieb:
was hast du denn für eine gurke ? soweit mir bekannt ist sollte doch jedes moto phone wenigstens froyo haben

Habe ein Motorola Milestone XT720. Das hat leider kein Froyo :(
 
Das einzige derzeit immune Android-Gerät sei das Samsung Galaxy S4. Google arbeite an einem Patch, der außerhalb der eigenen Nexus-Serie...
Kann das jemand genauer beschreiben. Warum ist das Samsung Galaxy S4 sicher? Das Nexus 4 nicht? Vor allem, da in der News von "außerhalb der Nexus-Serie" gesprochen wird. Leicht wiedersprüchlich.
 
Lost_Byte schrieb:
@CJay: Motorola hat inzwischen ein Android, welches sehr nah am Stock ist. Wär ja auch seltsam als Teil des Google Konzerns es komplett anders zu machen.

@Topic: schon teilweise leicht wertend in dem Artikel "desaströse Updatepolitik". Was macht das S4 eigentlich anders, dass der Fehler dort nicht auftritt?
Und seit wann ist es verwunderlich, dass Schadsoftware, die installiert wird, dem Gerät schaden kann? Das ist unter jedem System so.

https://www.cio.com.au/article/4665...droid_apps_without_breaking_their_signatures/

Wenn man dem Artikel glauben schenken kann, hat Samsung dieses Problem selbst gefixt, aber den Fix wohl nicht an die Community commited, damit sich andere daran bereichern können, z.B. CM. Andersherum hat es auch schon Sicherheitslücken gegeben, die fast nur Samsung betroffen haben. Leider sind dort nie alle auf einem Stand. Ich schätze das hängt mit dem Umstand zusammen, dass die Qualität der neuen Android Versionen bei den Herstellern nicht immer zur vollsten Zufriedenheit sind und jeder Hersteller sein eigenes Süppchen kocht was Bugfixes, etc. angeht um die Firmware dann auszurollen. Jeder hat natürlich andere Prioritäten oder guckt zu anderen Zeiten in die Bugliste rein, was gefixt werden müsste, damit es den eigenen Ansprüchen genugt. Sowas müsste optimalerweise irgendwie zentral sein, so dass Fixes an die Community commited werden und ausgetauscht werden könnten. Davon hätten alle Hersteller was und natürlich auch die Community.
 
Es ist doch gerade das Argument der Android Fanboys, dass man Apps überall herbekommen kann.
Und wie einige schon schrieben, auch die Apps aus dem Playstore können betroffen sein und ich hoffe Computerbase ändert die Aussage bald mal.
 
So. Der große Vorteil von Android ist also, dass es offen ist, und man von überall Apps installieren kann. Und das darf man nicht, weil Apps von überall eben bösartigste Malware sein können, gegen die Google scheinbar nichts unternimmt. Immerhin is das Problem seit fast einem halben Jahr bekannt, aber die Lücke ist noch immer offen.
Also sind wir bei Android keinen Deut besser dran als bei Windows Phone oder iOS. Software nur ausm Store. Mit dem Nachteil, dass Android-Malware so richtig böse sein kann (Spionagefunktionen, E-Banking-Betrügereien, Telefonkosten durch Mehrwertnummer-Anrufe etc.). Dann also lieber ein geschlossenes System, das betreut wird, als so eine Malware-Brutstube.

mfg
 
News schrieb:
[...] aber wer Apps ausschließlich aus dem Google Play Store bezieht, ist sicher.
Das ist aber sehr kurzsichtig gedacht.

Die Lücke existiert seit Android 1.6, also seit ca. 4,5 Jahren!
Google weiß davon erst seit Februar diesen Jahres.
Malwareentwickler hatten also mehr als genug Zeit die Lücke auszunutzen. Jeder der in dieser Zeit Apps aus dem Playstore geladen hat, könnte betroffen sein.
Vor allem können es auch Apps sein, die auf den ersten Blick harmlos aussehen, da sie keine Rechte fordern, sondern eben nahezu beliebige Rechte durch diese (massive) Sicherheitslücke bekommen können.

Diese Lücke gepaart mit der mieserablen Updatepolitik von Google (bzw. den Herstellern) macht die Sache doch sehr gefährlich.
 
Nach dieser Nachricht kann doch gleich zu D2 Shop gehen und über meine hohen Februar Rechnungen beschweren :) Endlich gibts Beweise!
 
Zurück
Oben