Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSicherheitslücke in Displaysperre des Sony Xperia Z entdeckt
zeitzonen, wenn ich schlaf sind in asien die leute unterwegs, wenn ich feiern geh sind die in den usa noch im meeting.
notfall hin oder her, bis zur erkentnis, ich rausgeklingelt, eingewählt und eingeloggt bin hat man sogar gemütlich nach möglichen schwachstellen des geklauten modells geschaut...
ein vernünftig verschlüsseltes gerät ohne an dem passwortschutz vorbei zu kommen, sportlich...wie?
Bei einer vernünftigen implementierung ist das schlicht ein problem für einen potentiellen datendieb...oder behörden...oder sonstwen...an dem sie auch scheitern wenn sie nicht andere lücken die, die verschlüsselung aushebeln können nutzen (wie eben diese hier bei sony)
- unabhängig davon dass natürlich nicht nur der sperrschirm ein angriffspunkt für den passwortschutz ist -
Und dafür habt ihr nur einen Administrator des Exchanges?
Mutig...
0711 schrieb:
notfall hin oder her, bis zur erkentnis, ich rausgeklingelt, eingewählt und eingeloggt bin hat man sogar gemütlich nach möglichen schwachstellen des geklauten modells geschaut...
Erinner mich noch an die Lücke beim iPhone, die total umständlich zu erreichen war (verschiedene Tasten drücken in bestimmten zeitlichen Abständen oder so), bei der gleich alle aufgeschrien haben. Und hier? Nichts, obwohl es wesentlich einfacher geht...
Da denkt man sich schon seinen Teil.
Soweit ich weiss ist es beim iPhone allerdings wesentlich schwerer die Sperre durch andere Mittel aufzumachen, als Handy an PC->paar Befehle am PC-> fertig
Beim XZ macht Android sogesehen das ganze unwichtig, da Android selbst da schon von Stock aus "Sicherheitslücken" eingebaut hat. Da sind die des XZ nicht so schlimm.
Korrigiert mich wenn ich falsch liege, aber die Displaysperre im iOS ist doch wesentlich "robuster", oder wie man es nennen will, oder?
Die müssen ja echt ein geiles Leben haben.
Interessiert mich doch ein Dreck, die "Sicherheitslücken". Als ob mir dadurch was schlimmes passieren kann!
Genauso wie diese Oracle Java "Sicherheitslücken".. interessiert mich nicht hauptsache es funktioniert.
Solange ich dadurch kein Geld verliere oder unnötige Werbung habe (die sowieso durch Adblock unterbunden wird), ist mir das absolut egal!
In einer kleinen Firma ist aber keineswegs 24/7 ein IT Techniker am Start, der ein Smartphone aus der Liste schmeißen kann. Und auch wenn man die Daten fernlöschen kann: Es kann schon zu spät sein und nicht alles wird über EAS verteilt...
Wie das bei BB weiß ich nicht, dort hatte ich noch kein BackEnd in den Fingern.
ohne die passcode zu knacken? Sicher gibt es wie gesagt auch andere angriffsvarianten auf genau eben diesen aber das würde mich interessieren wie man direkt die verschlüsselung angreift, gerne auch per pm
Ergänzung ()
fel1x. schrieb:
Und dafür habt ihr nur einen Administrator des Exchanges?
Mutig...
nö aber viele firmen operieren eben aus Deutschland aus heraus und 24/7 Anwesenheit eines admins kenne ich bei keiner Firma unter 4000 Mitarbeitern (zumindest ein admin je verantwortungsbereich/Standort).
fel1x. schrieb:
Nutzt man keine Xperia Z, dann wird die Suche gar nicht mal so leicht
Was auch immer bei uns genutzt wird, es ist kein Xperia z (AFAIK) ;-)
würde ich nicht sagen, die keykette ist angreifbar (mit der die Passwörter geschützt sind - damit ist allerdings nicht nur das sperrschirm Passwort gemeint sondern praktisch alle gespeicherten). http://sit.sit.fraunhofer.de/studies/en/sc-iphone-passwords-faq.pdf http://www.youtube.com/watch?feature=player_embedded&v=uVGiNAs-QbY
-> fehlerzähler o.ä. sind uninteressant, werden ignoriert (sprich x fehlversuche und gerät löschen greift nicht). Soweit mir bekannt wurde in 6.1 hier nichts relevantes überarbeitet und damit ist auch 6.1 betroffen.
Nebenbei gabs in ios ja auch schon direkte lücken beim sperrbildschirm um den zu umgehen.
Ein ähnlich genereller angriff auf android ist glaube ich nicht möglich/bekannt, die offenen bootloader stellen aber ein gewisses Risiko dar
Bei wp(8) und bb soweit mir bekannt auch nicht, die beiden halte ich auch hier für die robustesten bei denen denke ich nur "cold boot" attacke möglich wäre
Ergänzung ()
Falcon schrieb:
Wie das bei BB weiß ich nicht, dort hatte ich noch kein BackEnd in den Fingern.
relativ ähnlich (vom funktionalen, diesbezüglich)
gerät sperren, neues passwort geben(und sperren), löschen, Verbindung kappen, user/gerät sperren (unabhängig vom ad - was ja je nach eas Implementierung auch bei eas möglich ist ohne komplett die Arbeitsfähigkeit zu nehmen)
Bei bedarf kann das der Mitarbeiter über ein webportal auch selbst
Der größte unterschied ist zwischen eas geräten und bb "classic" geräten, bei bb gibt es nur eine 1zu1 Beziehung (also ein benutzer kann nur ein gerät per bb connect mit dem bes verknüpft haben)
Mir tun Leute - die heutzutage noch ein wenig Kreativität und Hirnschmalz aufbringen - nicht leid.
Allen, die ihr Phone gerootet haben, sollte der Code verdächtig bekannt vorkommen; von da ist es nur noch ein kleiner Schritt und hat überhaupt nichts mehr mit Zeit zu tun.
Aber heutzutage ist es ja üblich erstmal draufzuhauen; andere bei z.B. mangelnder Selbstzufriedenheit/Beschäftigung (passt da besser) schlechtzumachen ist ja seit Arenakämpfen wieder trendy, deshalb erfreuen sich die ganzen Grottenshows im TV wohl auch solcher Beliebtheit. Bei der ganz angenehmen Anonymität muss man sich heutzutage nicht mal mehr Ostereier in die Hose packen.
Die Leute, die sich wirklich mit den Teilen beschäftigen - egal ob beruflich oder privat - sind da meiner Erfahrung nach wesentlich entspannter. Weshalb der Rest, obwohl kommentarlos akzeptiert, genau andersrum tickt und ohne Not eine Konkurrenz ohne echte Argumente versucht ... macht irgendwie keinen Sinn.
Man muss halt nicht mit jedem Hans Ernst machen ... ;o)
Hier übrigens eine Lösung (leider nach 1 Monat kostenpflichtig) für die Lücke ... zum draufbashen oder ausprobieren:
Keine Ahnung was Dein unsinniger Beitrag soll. Über was beschwerst Du Dich jetzt eigentlich!?
Und Virenscanner oder "Security" Apps wie der GData Kram sind auf Android nutzlos. Zudem: Wer sein Gerät gerootet hat, ist selbst Schuld, wenn etwas schief läuft.
