News Stagefright 2.0: Sicherheitslücke erlaubt Zugriff auf Android über MP3 & MP4

[Sun_set_1]

Das hatten wir doch schon. Was kann jemand damit erreichen?

[...]
Heikel wäre das eben nur, wenn man eben komplette Kontrolle über das gerät bekommen würde. Und zb Online Banking und dergleichen kompromittieren könnte. Sich also wirklich auch genug Angreifer finden. Weil was zu holen ist.

Wenn man mal 5 Minuten Zeit investiert, um zu verstehen, wie das Hacken heutzutage letztlich funktioniert, würde man sowas nicht schreiben.

Die benannten Exploits sind Einfallstore die den ersten und gröbsten Schutz des Betriebssystem außer Gefecht setzen (Code-Signing, Sandbox).

Von da an, ist es ehrlich gesagt ein leichtes das Gerät komplett zu übernehmen. Das hier "nur" Kamera und Mikrofon betroffen sind, gilt einzig und allein als Proof-of-Concept. Von dort aus mit unkontrolliertem Code den Kernel überlaufen zu lassen oder weiteren Code in Speicherbereiche zu schreiben, in die dieser nicht hingehört (trusted-zone), ist für technisch versierte Programmierer nicht wirklich schwer.


Beide, Kamera und Mikrofon benutzen tiefere Systemprozesse. Wenn ich nun unkontrolliert in diesen Apps Code ausführen kann, kann ich eben diese Systemprozesse dazu bringen schadhaften Code in die trusted-zones zu schreiben, von der aus man schließlich kompletten Zugriff bietet.

Ich würde Beispielsweise Sub-Prozesse des Mikrofons verwenden um in die trusted-zone gewissen Code zu hinterlegen (bspw nen simpler Keylogger). Man notiert sich den Adressbereich. Anschließend nutzt man die Kamera um Code XY aus dem Bereich "0x0001" ausführen zu lassen. Et voila -> pwned

Das Ganze ist natürlich sehr, sehr vereinfacht dargestellt, aber so im Prinzip funktioniert das nun mal.
Hier handelt es sich um eine Sicherheitsfirma, natürlich stellen die kein PoC Online in dem direkt der root gekapert wird

 

[iSight2TheBlind]

Selbst wenn sie einen allgemeinen Updatemechanismus mit Android 5.0 eingeführt hätten: Der wäre dann nun auf 21% aller genutzten Geräte, das ist Nichts!
Das Problem, dass sie verpennt/verkackt haben einen Updatemechanismus von Anfang an (oder wenigstens mit Android 4.0) einzuführen ist in der Welt und geht auch nicht mehr weg, es betrifft hunderte Millionen Geräte.
Stattdessen gab es damals die Update Alliance, die absolut nichts getan hat!

 

[surogat]

Die fehlenden Aktualisierungsmöglichkeiten der einzelnen Android-Geräte ist mittlerweile auch ein Ausschlußkriterium für nicht wenige Unternehmen aus dem Bereich Industrieanlagen. Denn anscheinend ist diese Problematik auch bei der industriellen Verwendung, also im Embedded-Bereich, eine mittlerweile bemerkbare Größe. Die stehen vor dem gleichen Problem.

 

[Thunder-P]

Klar, wenn du ein Androidgerät einzig und allein als Telefon nutzt und ansonsten mobile Daten ausgeschaltet hast kann dir nichts passieren. Nur: Wozu?

Ich benutze schon auch alle Apps auf dem Smartphone. Im Grunde mache ich alles was andere auch machen, bis eben auf den Browser. Der Grund ist nicht nur Sicherheit, sondern auch die Größe. Ich kann das was ich im Internet machen will, besser an einem PC mit einem 27" Monitor machen, als auf dem Smartphone und wenn ich etwas runter laden will, habe ich die Sachen auch direkt auf dem PC wo sie hin auch sollen.

Ich schlage damit halt 2 Fliegen mit einer Klappe.

 

[MiamXD]

Selbst wenn sie einen allgemeinen Updatemechanismus mit Android 5.0 eingeführt hätten: Der wäre dann nun auf 21% aller genutzten Geräte, das ist Nichts!
Das Problem, dass sie verpennt/verkackt haben einen Updatemechanismus von Anfang an (oder wenigstens mit Android 4.0) einzuführen ist in der Welt und geht auch nicht mehr weg, es betrifft hunderte Millionen Geräte.
Stattdessen gab es damals die Update Alliance, die absolut nichts getan hat!

Absolut richtig, allerdings war 4.0 ein Jahr nach der Einführung auch kaum verbreitet. Damals gabs aber gefühlt mehr Updates von Froyo/Gingerbread als heute von Jelly Bean oder Kitkat.
Das Problem wird halt sein, dass man dann viele APIs umstellen muss, damit die Hersteller ihre Oberflächen weiter nutzen können(die greifen doch ziemlich tief ins System ein). Nur bedeutet das dann auch auf Herstellerseite wieder Aufwand, der nicht bezahlt wird. Googles Versuche etwas dagegen zu tun kann man ja leider auch mehr als halbherzig bezeichnen... Persönlich kann man sich(grade als Technisch Interessierter) informieren und Handys mit vielen Updates kaufen, die große Masse der Menschen tut das aber nicht und deshalb wird sich kaum etwas daran ändern.

 

[iSight2TheBlind]

@MiamXD
Ich habe Android 4.0 genannt, weil das der große Schnitt bei Android war.

Alle Releases davor waren Müll, erst mit Android 4.0 wurde das OS wirklich erwachsen und implementierte einige grundsätzliche Funktionen und sah auch endlich "gut" aus, anstatt wie die früheren Versionen nur ein Erbe von Windows Mobile zu sein.

Für die Aussagen werde ich nun garantiert wieder bei irgendwem in Gedanken als Fanboy gevierteilt werden, aber das meine ich eigentlich als Kompliment.
Steve Jobs hat afair zur Einführung des iPhone gesagt, dass man mit dem OS der Konkurrenz um 5 Jahre voraus sei und Android 4.0 ist imho der Release in dem Android langsam in Schlagdistanz zu iOS kam.
So langsam begann man bei Google Features die man in der Vergangenheit eher halbgar umgesetzt hatte (Copy&Paste) noch einmal zu überarbeiten und auch die Flüssigkeit des UI ging man langsam an - auch wenn es noch Project Butter und Project KY-Jelly und Project-Wasauchimmer brauchte bis es dann wirklich mal flüssig wurde.

Dieser Punkt, als man bei Google realisierte dass es mit einem OS mit dem Look und Benutzerkomfort von Windows Mobile nicht mehr getan ist und stattdessen alle Features bei Android noch einmal hinterfragte und anfing sie zu verbessern: Das wäre der Moment gewesen in dem man sich auch der Updateproblematik hätte annehmen sollen.

Doch stattdessen gab es hohle Versprechungen von einer Android Update Alliance, mit Updates für 18 Monate - sofern die Hardware es zulässt, der Hersteller gerade Lust und Geld hat und Weihnachten und Ostern auf einen Tag fallen.
Und ein halbes Jahr später war aus dem Versprechen bereits nur noch ein "Wir schauen mal" geworden.
Und weitere 6 Monate später war die Update Alliance ein Ding der Vergangenheit, ohne jemals etwas bewirkt zu haben.

Aber für Versprechungen denen keine Aktionen folgen gibt es keine Punkte und nun haben wir den Salat, mit hunderten Millionen Geräten die keine Updates erhalten werden und damit durch Angriffe wie diesen hier gefährdet sind.

Das ist als hätte Microsoft den Support für Windows XP abgekündigt, es aber versäumt überhaupt einen Nachfolger zu veröffentlichen - so dass in dieser Welt ohne Windows Vista, 7 und 8 dann trotzdem der Support für XP ausgelaufen wäre und die Leute mit den Lücken einfach alleingelassen worden wären.
Stattdessen macht Microsoft das Gegenteil und verschenkt nun sogar neue Windows-Versionen, damit unbedingt alle Nutzer immer auf der neuesten Version sind und sich dieses Debakel mit dem auslaufenden Support für XP, welches jedoch immer noch einen hohen Marktanteil hatte, nicht mehr wiederholen wird.

 

[EinsteinXXL]

Selbst wenn sie einen allgemeinen Updatemechanismus mit Android 5.0 eingeführt hätten: Der wäre dann nun auf 21% aller genutzten Geräte, das ist Nichts!
Das Problem, dass sie verpennt/verkackt haben einen Updatemechanismus von Anfang an (oder wenigstens mit Android 4.0) einzuführen ist in der Welt und geht auch nicht mehr weg, es betrifft hunderte Millionen Geräte.
Stattdessen gab es damals die Update Alliance, die absolut nichts getan hat!

Da magst du recht haben, aber es wäre zumindest mal ein Anfang gewesen. Mit der Zeit sterben die alten Geräte und Android Version aus und man hätte am Ende ein System welches schneller auf Lücken reagieren kann.

 

[vander]

Ich verstehe sowieso nicht, wieso Google keine Update Möglichkeit ala Microsoft ...

...
Stattdessen gab es damals die Update Alliance, die absolut nichts getan hat!

Ganz richtig, Google kann Android Geräte nicht zuverlässig updaten ohne vorher die passenden Schnittstellen einzubauen und das wurde sicher absichtlich so 'verbockt'.
Wenn es einen Weg gäbe alle Geräte zu patchen, dann könnte so eine Funktion auch alle Geräte Rooten oder Modden. Das ist nunmal gar nicht im Sinne der Erfinder. Die Geräte wären dadurch deutlich länger nutzbar. Ein Schelm ...

Die fehlenden Aktualisierungsmöglichkeiten der einzelnen Android-Geräte ist mittlerweile auch ein Ausschlußkriterium für nicht wenige Unternehmen aus dem Bereich Industrieanlagen. Denn anscheinend ist diese Problematik auch bei der industriellen Verwendung, also im Embedded-Bereich, eine mittlerweile bemerkbare Größe. Die stehen vor dem gleichen Problem.

Was haben Android Geräte, mit Internetzugang, den in Industrieanlagen zu suchen? Falls es um Geräte ohne Internetzugang geht, warum sollte man die updaten müssen?