News Sicherheitslücke: Schwachstelle in 95 von 100 Smartphones mit Android

Plumpsklo schrieb:
Ja, weil Windows Phone eine tote Plattform ist.

Das muß dich ja hart treffen nicht mit dem Strom mitzuschwimmen? ;)

Bin auch seit fast 2 Jahren auf einem Windows Phone und würde nie wieder auf Android wechseln wollen. Ein Grund dafür steht hier in dem Artikel, Google bringt die Android Bugfixes aber die Hersteller scheren sich einen Dreck darum.
 
Weg mit Hangouts, automatische MMS-Annahme deaktivieren (und auch manuell nicht annehmen). Muss doch wohl reichen oder?
 
Der Witz ist dass ich als ITler ihm im Voraus deutlich von android abgeraten habe!
Alternative? Ich vermute mal ganz stark ein phone ohne appstore ala uralt oder simpelst nokia.:D
Für mich 100% unpraktikabel. Ohne whats app&co. läuft eben nix.. Providerabzocke seidank.
 
BamLee2k schrieb:
Das ist das große Manko bei Android.
Ich Wechsel aus diesen Gründen zu Windows Phone.
Ein schön rundes OS mit weit weniger Sicherheitslücken.

jepp ist leider bei Android so..man bekommt ne Version auf den Handy vorinstalliert..aber danach mit Updates siehts mau aus...

bin deshalb auch zu Windows Phone 8.1 gewechselt..und demnächst gibt's Windows Phone 10....ich warte schon sehnsüchtig drauf :)
Ergänzung ()

exoterrist schrieb:
Das große Problem mit Android ist die oftmals schlechte Versorgung mit Updates. Wer kein Nexus-Gerät hat, muss ewig auf Updates warten, falls sie überhaupt kommen.

ich hab ein Jahr gewartet..und nachdem dann der Hersteller geschrieben hatte es wird nix kommen an Updates..war für mich dann Sense bei Android
 
Theobald93 schrieb:
Weg mit Hangouts, automatische MMS-Annahme deaktivieren (und auch manuell nicht annehmen). Muss doch wohl reichen oder?

Nein, denn die Lücke sitzt nicht in den nachrichten-Apps sondern im Multimediaframework Stagefright. Die Nachrichten-Apps sind nur die möglichen Wege um ein modifiziertes Video mit Schadcode auf das Handy zu bekommen, da gibt es sicher noch ganz andere Möglichkeiten.


Und Windows Phone soll tot sine? Also mein neues Lumia 730 ist quicklebendig ;-) im Gegensatz zum durch offizielle Updates kaputtgepatchtes Xperia U (das sich auch durch CM nicht vernünftig reanimieren hat lassen)
 
Plumpsklo schrieb:
Ja, weil Windows Phone eine tote Plattform ist.
Wenn man keine Ahnung hat... :rolleyes:

@Topic
Wer suchet der findet und Anfang Mai gemeldet ist natürlich schon ne starke Hausnummer.
Wäre das jetzt MS gewesen und die hätten das offengelegt, wie Google das so unschön vor
einigen Monaten mal tat mit einer Sicherheitslücke, gäbe es nun wieder ein Shitstorm :D

Bin definitiv froh nicht auf Android zu setzen.
 
Android Smartphones sind wegwerfware mit garkeinen oder sehr kurzen Support zumindst bei Samsung. Bin auch zu WP gewechselt..schade eigentlich weil die Hardware von Samsung eigentlich nicht schlecht ist.
 
Aha, Android ist also die unsicherste Plattform, weil die meisten bekannten Lücken dafür vorliegen. Blöd nur, dass Android im Gegensatz zu Windows&iOS deutlich offener ist, wodurch Fehler schneller gefunden werden können, allerdings auch einfacher ins Ökosystem gelangen können. Gleichzeitig ist die "Dunkelziffer" also die nicht bekannten Sicherheitslücken, von denen auch niemand weiß, ob sie mal gefixt werden, die allerdings vielleicht bereits ewig lange ausgenutzt werden, bei Windows&iOS sicherlich höher.
Unterm Strich hat man also so oder so nur Vermutungen, eine wirklich qualifizierte Antwort auf die Frage nach dem sichersten PhoneOS ist wohl nicht möglich.

Außerdem kommt dazu, dass vieles in erster Linie vom User abhängt, mit ein wenig gesundem Misstrauen beim Installieren und Runterladen von Apps usw., gerade im Bezug auf Zugriffsrechte, kann man doch einen recht effektiven Grundschutz aufbauen.

Die hier offen gelgte Lücke ist natürlich egal wie ein ziemlicher Hammer, hier sollte definitiv schnellstens gehandelt werden um diese zu Schließen. Womit man beim Thema Updatepolitik landet und die ist in der Tat bei den meisten Herstellern im Androidumfeld mehr als bescheiden.

PS. Zumindest Sony ist recht vorbildlich, was Updates angeht, vieles wird ausgerollt und noch dazu hat man bei der Z-Serie die Option direkt über Sony ein Stock-Android zu beziehen.
 
Zuletzt bearbeitet:
Ein totes Betriebssystem ist ja nun mal keine Alternative.
Wer Updates will kauft ein Nexus, Motorola, OnePlus, Sony....

Tatsache ist aber, dass die Nutzer in der Praxis(!) keine Probleme haben.

Aus dem Artikel:
Allerdings sind vor allem die Versionen betroffen, die älter als Android 4.1 sind.

Also sind 10 % der Nutzer betroffen. Eine alte Gurke mit 2.3 wäre bei Apple auch schon aus dem Support gefallen.
 
Das ist ja jetzt nichts Android oder Hangout spezifisches, aber ich finds einfach grundsätzlich bedenklich, wenn eingehende Nachrichten so komplexe Prozesse anstoßen können. Ein weiterer Grund, warum ich nicht glücklich darüber bin, wenn jede App Zugriff auf das Nachrichtensystem erhält.

Was WP vs Android anghet:

Windows, das Linux für Smartphones ;)
 
Hier wird aber viel Halbwissen verbreitet. Auch bei WP muss der Hersteller das Update rausbringen. Da geht gar nichts schnell. Bei dem Ativ S von Samsung hat es damals eeeeeeeeeeeeeeeeeeeeeeeeeeeeewig gedauert bis WP 8.1 kam und es war zwischendurch gar nicht sicher, ob Samsung es überhaupt bringen wird. Samsung gab damals die Schuld Microsoft, währned MS die Schuld bei Samsung sah. Ob WP 10 für das Ativ S kommt ist auch noch überhaupt nicht sicher und wenn dann sicher mit 6-12 Monaten Verspätung im Gegensatz zu den Lumias.

Wenn ihr natürlich ein Lumia kauft, dann ist das natürlich anders, weil Microsoft die selber herstellt/vermarktet. Dann ist es aber nichts anderes als das Nexus bei Android... Da gehen die Updates ja auch schnell.

Also insgesamt kein großer Unterschied zu Android. Wenn man noch bedenkt, wie lange damals WP7 gehalten hat, dann werden die meisten Androids viel länger mit Updates versorgt.
 
Apooo schrieb:
Hier wird aber viel Halbwissen verbreitet. Auch bei WP muss der Hersteller das Update rausbringen. Da geht gar nichts schnell. Bei dem Ativ S von Samsung hat es damals eeeeeeeeeeeeeeeeeeeeeeeeeeeeewig gedauert bis WP 8.1 kam und es war zwischendurch gar nicht sicher, ob Samsung es überhaupt bringen wird. Samsung gab damals die Schuld Microsoft, währned MS die Schuld bei Samsung sah. Ob WP 10 für das Ativ S kommt ist auch noch überhaupt nicht sicher und wenn dann sicher mit 6-12 Monaten Verspätung im Gegensatz zu den Lumias.

Wenn ihr natürlich ein Lumia kauft, dann ist das natürlich anders, weil Microsoft die selber herstellt/vermarktet. Dann ist es aber nichts anderes als das Nexus bei Android... Da gehen die Updates ja auch schnell.

Also insgesamt kein großer Unterschied zu Android. Wenn man noch bedenkt, wie lange damals WP7 gehalten hat, dann werden die meisten Androids viel länger mit Updates versorgt.


und deshalb hab ich direckt ein Lumia gekauft...
 
BamLee2k schrieb:
Ich Wechsel aus diesen Gründen zu Windows Phone.
Na dann beeil Dich aber, Windows Phone ist eine tote Plattform, denn es wird im Rahmen der Windows 10 Einführung in wenigen Wochen ganz offiziell eingestellt... aber vielleicht gefällt Dir dann ja auch das neue Windows 10 mobile? Muß man halt mal die Tests abwarten.
 
Puh hier ist der Trollalarm aber wieder auf Vollausschlag.

Und jetzt zum Tehma:

hoo schrieb:
"... bis Android 5.1"

Bedeutet das, das diese Lücke unter Android 5.1.1 nicht mehr besteht?

Gute Frage.

Daniel schrieb:
Allerdings sind vor allem die Versionen betroffen, die älter als Android 4.1 sind. Neue Ableger des Betriebssystems bieten bereits Schutzfunktionen, die den Angriff erschweren. Umso mehr sind bei diesem Problem aber die Hersteller gefragt, die die von Google zur Verfügung gestellten Patches auch an die Nutzer weitergeben müssen.

Was heißt das jetzt explizit für Versionen ab 4.1? Und was für ein Nexus mit 5.1.1 welches ja die Google Patches haben sollte?
 
Zuletzt bearbeitet:
Moment, Windows Phone 7 hat von Oktober 2010 bis März 2013 (letztes 7.8 Sicherheitsupdate) "gehalten", sprich wurde mit Updates beglückt. Das Problem hier war nur, Lumia 800/900 Mitte 2012 noch noch mit WP7.5 auf den Markt zu werfen... (und das hat letztendlich Nokia gemacht und nicht MS).

Ativ S und Windows 10 wird man sehen, ist ja nun auch 34 Monate alt (wie Lumia 820/920). Für das HTC 8x, genauso alt, sieht es ja ganz gut aus.
 
Zuletzt bearbeitet:
flappes schrieb:
Windows hat "vielleicht" weniger "bekannte" Sicherheitslücken, d.h. aber nicht, dass es sicherer oder weniger sicherer wäre als Android oder IOS.

Microsoft kann das System einheitlich mit Patches versorgen. Auch der Zeitraum, den die Plattform mit Updates versorgt wird ist doppelt so lange wie bei Android (MS 36 Monate und Android 18 Monate aber Google lässt auch mal 5 gerade sein und fixt ein Loch nicht weil sie keine Lust haben, siehe WebView. Man solle einfach Upgraden ...).

Bei Android muss der Hersteller erst mal die Lücke in seinem Android Branch fixen und ausrollen. Bei den meisten Geräten passiert das nicht.

Apooo für das Ativ gab es doch auch Preview Builds. Ich würde das Problem da auch eher bei Samsung suchen.
 
NoD.sunrise schrieb:
Was heißt das jetzt explizit für Versionen ab 4.1?

Das man einen anderen Weg für den Angriff suchen muss als eine MMS die schon durch den reinen Empfang das System infizieren kann. Aber Möglichkeiten dürften sich da zur genüge finden wenn der Fehler an sich im Multimediasystem liegt. Einfach Mails mit Links auf infizierte Videos verschicken sollte da vermutlich schon reichen...
 
Zur Info:

Lage bei CyanogenMod:

http://www.heise.de/forum/heise-Security/News-Kommentare/Android-Smartphones-ueber-Kurznachrichten-angreifbar/Situation-bei-CyanogenMod/posting-21039302/show/ schrieb:
Situation bei CyanogenMod

Laut dem Post von Adnan Begovic von CM (https://plus.google.com/+AdnanBegovic/posts):

"The following CVE's have been patched in CM12.0 and 12.1 nightlies for a couple weeks. If you haven't updated already, we strongly encourage you to do so.

CM11 will see these updates hit as part of out of band fixes this weekend (these releases occur weekly).

CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829

We are actively following all the DefCon events and announcements and will be keeping tabs on other disclosures that could impact CM and its derivatives."


Und wer uns das mal wieder eingebrockt hat:


http://www.pro-linux.de/news/1/22571/android-stagefright-fast-eine-milliarde-geraete-potenziell-verwundbar.html schrieb:
Die exzessiven Rechte braucht Stagefright vermutlich, um verschiedene Erfordernisse des Digital Rights Management (DRM) von Medien wie MPEG4-Dateien zu erfüllen.
 
Shririnovski schrieb:
Aha, Android ist also die unsicherste Plattform, weil die meisten bekannten Lücken dafür vorliegen. Blöd nur, dass Android im Gegensatz zu Windows&iOS deutlich offener ist, wodurch Fehler schneller gefunden werden können, allerdings auch einfacher ins Ökosystem gelangen können.
und dann wird nicht mal gepatcht. Schlimmer geht's quasi nicht....


Gleichzeitig ist die "Dunkelziffer" also die nicht bekannten Sicherheitslücken, von denen auch niemand weiß, ob sie mal gefixt werden, die allerdings vielleicht bereits ewig lange ausgenutzt werden, bei Windows&iOS sicherlich höher.
Bullshitbingo?

Außerdem kommt dazu, dass vieles in erster Linie vom User abhängt, mit ein wenig gesundem Misstrauen beim Installieren und Runterladen von Apps usw., gerade im Bezug auf Zugriffsrechte, kann man doch einen recht effektiven Grundschutz aufbauen.
Afaik? Nö...
 
Zurück
Oben