News Sicherheitslücke in Displaysperre des Sony Xperia Z entdeckt

Lavaground · 26. März 2013

realredfox schrieb:
Aber was wenn ich zufällig der Präsident der Welt bin und ganz ganz viele Geheimnisse, die nicht jedem am Popo vorbei gehn, auf meinem Handy hab? WAS DANN?????

Für solche Personen gibt es speziell angepasste Mobiltelefone. Obama ist der erste Präsident der sein BlackBerry, nachdem es gemodded wurde, behalten durfte, zusätzlich zum Diensttelefon.
Smartphones haben mehr Lücken als uns die Anbieter weis machen wollen.
Und Service Menüs sind gang und gebe, sowie auch von nöten. Was halt unterbunden werden sollte ist eine Fehlfunktion wie im hier genannten Beispiel. Man sollte nur ins Service Menü kommen können und nicht weiter...

ebenfalls wie schon erwähnt: geht so ein mopped verloren, dann wirds zu 99,9% sofort gelöscht/wiederhergestellt. Es interessier keinen Hehler was vorher auf dem Telefon war.
Sollte ein "wichtiges" Telefon gestohlen werden, ist das:
1. Ne sehr gut geplante Nummer, mit nem sehr lebensmüden geldgeber
2. Wird der Sperrbildschirm das geringste Problem sein

Naja, dann kommt hinzu, dass ich kaum glaube, dass außer Telefonnummern (was auch schon schlimm genug sein kann) keine Staatsgeheimnisse auf Smartphones gelagert werden... LOL

BTW ich hab nichma nen Codesperre drin, fernbricken ist kein problem...

@falcon: Hier mal ne Preisliste xD und hier und da mal n paar tausender abgreifen fürs finden eines sicherheitsrelevanten bugs ist garnichtmal so unlukrativ

MOS1509 · 26. März 2013

Ich finde es von CB trotzdem nicht gut, den Code zu veröffentlichen. Forumregel ist soweit ich weiß, dass es verboten ist, rechtswidrigen Taten Vorschub zu leisten. Und ein fremdes Handy auzulesen, dürfte rechtswidrig sein.

Kimi · 26. März 2013

Na sind die Nerds wieder unterwegs und haben nichts besseres zu tun als herauszufinden, wie man etwas umgehen kann?

Die müssen ja echt ein geiles Leben haben.
Interessiert mich doch ein Dreck, die "Sicherheitslücken". Als ob mir dadurch was schlimmes passieren kann!

Genauso wie diese Oracle Java "Sicherheitslücken".. interessiert mich nicht hauptsache es funktioniert.
Solange ich dadurch kein Geld verliere oder unnötige Werbung habe (die sowieso durch Adblock unterbunden wird), ist mir das absolut egal!

EchoeZ · 26. März 2013

MOS1509 schrieb:
Ich finde es von CB trotzdem nicht gut, den Code zu veröffentlichen. Forumregel ist soweit ich weiß, dass es verboten ist, rechtswidrigen Taten Vorschub zu leisten. Und ein fremdes Handy auzulesen, dürfte rechtswidrig sein.

Ach komm, diese "How-to-do"s sind doch ganz interessant

MOS1509 · 26. März 2013

EchoeZ schrieb:
Ach komm, diese "How-to-do"s sind doch ganz interessant

Ja, wo man kostenlos die neusten Kino-Blockbuster runterladen kann ist auch ganz interessant, aber im Regelfall illegal.

Lavaground · 26. März 2013

Service Codes sind meist kein großes Geheimnis oder kosten nen Euro auf Ebay... und wer sagt das dass nicht grad jemand macht der dummerweise, warumauchimmer, seinen passcode vergessen hat und sich nun freut doch keinen reset machen zu müssen xD
Und ich sehe nicht wo der vorgang an sich illegal sein soll? das man damit an daten kommt setzt einen diebstahl voraus... oder steht in der AGB: der zugang zum mobiltelefon über ein service menü ist untersagt, weil wir da was verpeilt haben?

MaverickM · 26. März 2013

Um nun dennoch was zu den ganzen "Wen interessierts?" Leuten zu sagen:
Soll auch Leute geben, die die Dinger geschäftlich nutzen. Da sind evtl. Kundendaten etc. drauf. Das fällt alles unter den Datenschutz. Evtl. auch Firmendokumente, die zwar keine "Staatsgeheimnisse" sind, aber dennoch keinen unbefugten etwas angehen.

Natürlich ist mit physischem Zugriff auf das Telefon das Auslesen der Daten nicht unmöglich. Aber es sollte dennoch erschwert werden, so dass nicht gleich jeder Depp der es zufällig findet Zugriff drauf hat. Und Diebe, die das Ding weiter verkaufen, interessieren die Daten eh nicht. Da wird Speicher gelöscht und gut is.

fel1x. · 26. März 2013

Falcon schrieb:
Soll auch Leute geben, die die Dinger geschäftlich nutzen. Da sind evtl. Kundendaten etc. drauf. Das fällt alles unter den Datenschutz. Evtl. auch Firmendokumente, die zwar keine "Staatsgeheimnisse" sind, aber dennoch keinen unbefugten etwas angehen.

Interne IT anrufen, die gehen auf den Exchange Server und löschen das Smartphone innerhalb von 90 Sekunden.

Keinen Exchange-Server? Selbst Schuld

Lavaground · 26. März 2013

Wenn da wichtige Kundendaten drauf sind, dann ist das an sich schon ein Problem. Dies sollte man, so unbequem es auch ist, einfach nicht auf dem 0815 Smartphone haben und wenn da die IT wenigstens was mit "gemacht" hat (eigenes Netzprotokoll, Einschränkugen, weitere Einschränkungen über Root / Jailbreak), ist es zwar etwas "sicherer" aber immernoch ein wenig fragwürdig...

Exchange Services sind ja eigentlich gang und gebe, sonst bekommste doch die Kriese als ITler

Ein sicheres Mobiltelefon ist einfach keines der jetzigen für Normalsterbliche erhältlichen Smartphone-Generationen.

Krautmaster · 26. März 2013

man sollte sich fragen was an einer Tastensperre so schwer ist ^^ bietet da Google keine generelle übergreifende API an? !

Scheint ja so als kocht wirklich jeder Hersteller sein eigenes Süppchen... selbst bei diesen eigentlich trivial scheinenden Dingen wie die Entsperrung eines Gerätes...

MaverickM · 26. März 2013

fel1x. schrieb:
Interne IT anrufen, die gehen auf den Exchange Server und löschen das Smartphone innerhalb von 90 Sekunden.

Keinen Exchange-Server? Selbst Schuld

Auch das ist unsinnig. Den erstens arbeitet nicht jeder in einer großen Firma und zweitens bleiben die Daten trotzdem auf dem Smartphone, egal ob Du den Exchange-Zugang sperrst oder nicht.

Es gibt natürlich auch Dienste, die das Ding aus der Ferne sperren/löschen können. Das ist trotzdem keine Entschuldigung für die Sicherheitslücke oder gar in erster Instanz fehlende Zugangssperre.

Silmaril · 26. März 2013

Mein Xperia V ist auch betroffen.
Ich mache mir aber darüber überhaupt keine Sorgen.
Denn ich denke genauso wie AramisCortess in Post #3:

immer dieses sicherheitslücken geblubber....
diese lächerlichen tastensperren sind nur dafuer da, damit man nicht ausversehen was zerfummelt.
Ausserdem sind sie ganz dienlich dazu freunde und bekannte am "kurz mal eben" rumgefummeln abzuhalten.

Wer nen handy klaut laesst sich von keiner Tastensperre steine in den weg stellen.

-Absolut richtig. Gibt also keinen Anlass daraus einen Elefanten zu machen!
Mehr gibts dazu nicht zu sagen.

0711 · 26. März 2013

fel1x. schrieb:
Interne IT anrufen, die gehen auf den Exchange Server und löschen das Smartphone innerhalb von 90 Sekunden.

Keinen Exchange-Server? Selbst Schuld

super idee...

bis sich da jemand bei der it meldet (handy tatsächlich geklaut?) um das gerät löschen zu lassen (zu jeder tages/nachtzeit) hat der dieb - sofern es ihm auf die daten ankommt - bei so einer lücke schon längst alles in die wege geleitet dass er schon hat was er will oder schlicht den netzzugang deaktiviert um sich dann gemütlich an die daten zu machen, bei so ner lücke hat man als it ganz schnell einfach verloren.

Ergänzung (26. März 2013)

Falcon schrieb:
Den erstens arbeitet nicht jeder in einer großen Firma und zweitens bleiben die Daten trotzdem auf dem Smartphone, egal ob Du den Exchange-Zugang sperrst oder nicht.

über eas lassen sich die geräte auch löschen, nicht nur sperren/verbindung kappen.

wobei manch samsung gerät die löschanforderung auch nur bestatigt hat und sonst auhc nichts gemacht hat aber das ist ein anderes thema/miese umsetzung...bei sonys androiden würde die löschung aber problemlos funktionieren

dedavid95 · 26. März 2013

hab den code gerade mal bei meinem xperia arc s ausprobiert, da kommt man ja in das service menü rein, ohne den code zu haben, das finde ich nich ganz in ordnung.....
aber interessant, was man alles so findet

Haldi · 26. März 2013

und einmal mehr negativ Schlagzeilen für das Xperia Z.... [insert its something meme]

ich bin sowieso Gegner der Tastensperren via Code/Muster. Wichtige Daten sind bei mir keine vorhanden und ich hab das Smartphone immer in der Nähe. und falls ich es mal verliere hat der finder wenigstens die Chance mich/meine Freunde zu kontaktieren! (jaja ich weiss, Notfall Nummer auf dem Lockscreen ermöglicht das gleiche)

Falcon schrieb:
Natürlich ist mit physischem Zugriff auf das Telefon das Auslesen der Daten nicht unmöglich. Aber es sollte dennoch erschwert werden, so dass nicht gleich jeder Depp der es zufällig findet Zugriff drauf hat.

dann sind wir wieder soweit wie früher mit einem Notizbuch. wer es sich klauen lässt muss damit rechnen das rein geschaut wird.

Falcon schrieb:
Es gibt natürlich auch Dienste, die das Ding aus der Ferne sperren/löschen können.

genau das meinte er damit. exchange bietet die die Möglichkeit die Daten des Telefons aus der ferne zu löschen. sogar als Grundbedingung damit die Synchronisation überhaupt stattfindet.
ist bei uns zbsp so eingerichtet. Ich hab den Active Exchange Server auf meinem Synology NAS noch nicht eingerichtet, aber ich hoffe da hat es die Funktion auch drin.

0711 · 26. März 2013

Haldi schrieb:
dann sind wir wieder soweit wie früher mit einem Notizbuch. wer es sich klauen lässt muss damit rechnen das rein geschaut wird.

ich frage mich wofür man verschlüsseln kann...gut natürlich taugt in diesem fall eine verschlüsselung nichts aber eben deshalb ist es ein kritisches problem.

Mumbira · 26. März 2013

0711 schrieb:
kritisches problem.

Und welcher 0815 User weiss was davon?! Die wenigen die dieses Problem kennen, wissen auch wie man es ohne diese Lücke aufkriegt.

fel1x. · 26. März 2013

Falcon schrieb:
Den erstens arbeitet nicht jeder in einer großen Firma

Groß? Auch Klein- oder Mittelstandsunternehmen arbeiten meist mit Exchange.

Falcon schrieb:
zweitens bleiben die Daten trotzdem auf dem Smartphone, egal ob Du den Exchange-Zugang sperrst oder nicht.

Nope, ich rede vom Werkszustand.

0711 schrieb:
super idee...

Danke!

0711 schrieb:
bis sich da jemand bei der it meldet (handy tatsächlich geklaut?) um das gerät löschen zu lassen (zu jeder tages/nachtzeit)

Tageszeit klar. Nacht: So oft sind die MA da nicht unterwegs geschweige den wach. Und zum Feiern nimmt man sicher kein Diensthandy mit.
Wenn doch, dann halt anrufen; ist ja ein Notfall ;-)

0711 · 26. März 2013

Mumbira schrieb:
Und welcher 0815 User weiss was davon?! Die wenigen die dieses Problem kennen, wissen auch wie man es ohne diese Lücke aufkriegt.

ein vernünftig verschlüsseltes gerät ohne an dem passwortschutz vorbei zu kommen, sportlich...wie?
Bei einer vernünftigen implementierung ist das schlicht ein problem für einen potentiellen datendieb...oder behörden...oder sonstwen...an dem sie auch scheitern wenn sie nicht andere lücken die, die verschlüsselung aushebeln können nutzen (wie eben diese hier bei sony)

- unabhängig davon dass natürlich nicht nur der sperrschirm ein angriffspunkt für den passwortschutz ist -

Augen1337 · 26. März 2013

wazzup schrieb:
Dito. Ich hab nichts wichtiges oder privates auf meinem Handy ausser ein paar Bildern, und die lassen sich ohnehin per USB auslesen ohne jeglichen Code. Wird es mal geklaut ändere ich das PW zum email und itunes Account und schon kann nichts mehr passieren.

Vllt wäre es ganz gut, wenn du auch die Funktionen deines Geräts kennen würdest. Benutz iCloud, lösche, sperre und orte dein Handy.

News Sicherheitslücke in Displaysperre des Sony Xperia Z entdeckt

Lt. Commander

Lt. Commander

Ensign

Commander

Lt. Commander

Lt. Commander

20k Fleet Admiral

Lt. Commander

Lt. Commander

Fleet Admiral

20k Fleet Admiral

Lt. Junior Grade

Admiral

Rear Admiral

Admiral

Admiral

Commander

Lt. Commander

Admiral

Captain

Ähnliche Themen

Passend zum Thema