News Schwere Sicherheitslücke in allen Android-Versionen

@riDDi
Muss Sideloading nicht sowieso aktiviert sein, wenn man einen alternativen Appstore (a la AndroidPIT) nutzt?
Bei Third-Party Appstores ist es natürlich deutlich einfacher direkt ne manipulierte apk in den jeweiligen Appstore hochzuladen, da hast du recht.

Die Variante die ich beschrieben habe könnte man aber evtl. sogar in den Playstore bekommen, ohne dass es Googles Bouncer merkt. (nutzt ja quasi nur indirekt die Lücke aus)
Ist aber dann eben etwas Social Engineering notwendig um den Nutzer dazu zu bekommen es zu installieren.
 
System-Apps können die Berechtigung android.permission.INSTALL_PACKAGES haben und damit Apps ohne Zustimmung installieren. Es geht also, solange das ROM mit einem anderen Store ausgeliefert wird. Einen anderen App Store mit diesen Rechten nachträglich installieren geht nicht.
 
***Susa*** schrieb:
z.B.:
Nie Online Banking übers Phone/Tablet gemacht und in ne App/Browser die Login Daten eingeben.
Keine Kreditkarte im Play Store angegeben
Keine Sparkasse (x-beliebige andere) Bank app installiert
Kein google+ Account & keine App
Keine Facebook App
Kein WhatsApp
Falls Kalender App nur Termine mit Abkürzungen (Zeit/Ort/..)
Natürlich auch keine Spiel oder Zeichen oder sonstige Apps mit Social Network Accounts (FB..verknüpft)
Keine Browser Bookmark Synchronisation
Kein Root
;)

Das kannst auch leichter haben: Kein Smartphone.

Das wirklich schlimme an der Geschichte ist ja nur dass gerade das Sideloading eigentlich nur dazu diente den "alten" Smartphones noch aktuelle Programme verpassen zu können, die man so eben NICHT mehr für seine nach einem Jahr veraltete Programmversion aus dem Playstore bekam. Und das jetzt ganz schlimme Finger auf die Idee kommen "Angry Birds.apk's" auf den bekannten OCH's zu spammen kann man sich auch ausmalen, doppelte Strafe hält halt besser :freak:
 
Zurück
Oben