Wie hoch ist die Gefährdung bei einem Smartphone, dass keine Updates mehr bekommt?

[romeon]

Ich sehe das nicht mehr so dramatisch wie noch vor einigen Jahren. Da habe ich Updates kaum erwarten können und geschimpft, wenn da nicht regelmäßig was kam. Gebracht hat es mir nicht mehr als allen Bekannten, die das nicht gemacht haben. Man liest ja auch kaum von derartigen Problemen.
Wenn die Apps aktuell gehalten werden, hätte ich somit wenig Bedenken.
Bei Tablets sowieso nicht, vermutlich haben über die Hälfte ein veraltetes OS und sind damit online.

 

[siggi%%44]

@wetterauer Du kannst das Smartphone noch so lange nutzen wie du möchtest. Je älter der letzte Patch ist desto größer ist natürlich die potenzielle Bedrohung. Aber gefährlich ist das deswegen nicht.

Ironischerweise wird hier dazu geraten, eine Custom ROM zu installieren. Ja, die können einen aktuellen Patch haben. Aber bei einem offenen Bootloader sollte ich mir darum keine Gedanken machen. Dein gesamtes System liegt damit in den meisten Fällen vollkommen offen.

Ein Patch kommt folgendermaßen zustande: Ein Dev sitzt vor seinem Rechner und schreibt fleißig seinen Code. Vertieft in die Materie fällt ihm auf, dass es ja möglich sein müsste, über den Kernelcode mit einem bestimmten Prozess auf einen anderen Prozess zuzugreifen, um damit dann... usw. Google prüft das und fügt es ggf. in das AOSP ein. Anfang des kommenden Monats wird dieser Codeschnipsel als Teil des Patches veröffentlicht. Dazu kommt noch closed Source von Qualcomm, MediaTek und wie sie alle heißen.

Aber diese "Lücken" sind kaum eine Bedrohung, weil sie in der Praxis kaum umzusetzen sind. Außerdem ist das AOSP bekannterweise offener Code und jeder Patch wird veröffentlicht, indem der entfernte Code dem neuen Code gegenübergestellt wird. Somit kann jeder Hobbyentwickler jedes Detail des Patches nachvollziehen. Aber anwenden tut's keiner. Ich betone nochmals: Zwischen Entdeckung der Lücke und Patch im AOSP liegen viele Monate und min. 1 Person kennt ja diese Lücke.

Das alles ist aber vollkommen unabhängig davon, welche Apps du runterlädst. Apps nutzen keine Lücken aus, die auf älteren Geräten mangels fehlender Updates nicht gestopft wurden. Da gibt es viel einfachere Methoden. Du kannst bei Android schadhafte Prozesse nur mittels App ausführen. Es gibt keine Viren, die über Dateianhänge o.ä. auf dein Gerät gelangen und die Lücken ausnutzen, um dein Gerät zu rooten oder dir zu schaden. DU musst aktiv eine App installieren, die dann in einem gewissen Rahmen ihr Unheil treibt. Anders geht es nicht.

 

[siggi%%44]

und als webview-komponente chrome oder webview aus dem store installieren und einstellen.

Leider hast du keinerlei Einfluss darauf, welche WebView-Engine genutzt werden soll. Du kannst nur das wählen, was man dir zur Auswahl lässt. Manchmal hast du auch keine Wahl. Aber es läuft so oder so immer auf Android WebView oder Chrome hinaus. Die Engine ist festgesetzt in /system/framework/framework-res.apk/res/xml/config_webview_packages.xml

Am Beispiel von SMS: Glaubst du, eine App ersetzt die gesamte Systemsoftware zum SMS-Empfang? Eine Browser-App wird vermutlich auch nicht selbst den Netzwerkstack implementieren... Die setzen alle auf dem Betriebssystem auf. So ist es halt. Und dessen sollte man sich bewusst sein.

Wie soll eine SMS denn eine Sicherheitslücke ausnutzen und deinem Gerät schaden, indem sie bloß empfangen und geöffnet wird? Alles, was du per Download, SMS, E-Mail etc. auf dein Gerät bringst, hat nicht mehr Rechte im System als du. Es gibt keine SMS o.ä. die dein Gerät mit irgendwas infizieren. Solche Dinge werden von unseriösen Vertretern von Antivirensoftware vllt. in Umlauf gebracht, sind aber völlig unrealistisch.

Deren Malware bekommst du nicht mit im Betrieb und die verdienen trotzdem an dir.

Diese Malware nutzt aber auch keine Sicherheitslücken aus, sondern wird bloß als App ausgeführt. Das hat mit diesem Thema nichts zu tun.

 

[Tech-Nick]

Ich kann manche Beiträge hier nicht unwidersprochen stehen lassen:

Wer von komische Quellen Apps installiert bei dem ist eh alles egal, selbst die aktuelle Android Version hilft notfalls nicht

Es geht hier gar nicht um Apps aus komischen Quellen, sondern schlicht um exploitbare Sicherheitslücken. Das ist ein anderes Thema. Ebensowenig handelt es sich hier um Panikmache und Geldmacherei, jeden Monat werden mehrere Sicherheitslücken geschlossen. Wenn das ganze Panikmache wäre, wozu dann den Aufwand? Und wenn das Handy aus dem Sicherheitszyklus raus ist, ist es eben vorbei mit Updates.

Je älter der letzte Patch ist desto größer ist natürlich die potenzielle Bedrohung. Aber gefährlich ist das deswegen nicht.

Je älter der letzte Patch umso größer ist die Bedrohung und die potenzielle Gefahr. Das ist ein eklatanter Unterschied.

Vertieft in die Materie fällt ihm auf, dass es ja möglich sein müsste, über den Kernelcode mit einem bestimmten Prozess auf einen anderen Prozess zuzugreifen, um damit dann... usw. Google prüft das und fügt es ggf. in das AOSP ein.

Das ist eine Möglichkeit. Aber wie du schreibst kann jeder den Quellcode nachvollziehen und es ist nicht gesagt, dass jemand, der Schwachstellen entdeckt, diese auch meldet. Genausogut kann er die ausnutzen oder das Wissen an Kriminelle verkaufen.

Somit kann jeder Hobbyentwickler jedes Detail des Patches nachvollziehen. Aber anwenden tut's keiner. Ich betone nochmals: Zwischen Entdeckung der Lücke und Patch im AOSP liegen viele Monate und min. 1 Person kennt ja diese Lücke.

Ja, jeder kann es nachvollziehen. Und während man im Sicherheitszyklus hofft, dass die Schwachstelle geschlossen wird bevor sie ausgenutzt wird, bleibt die Schwachstelle bei nicht mehr unterstützen Geräten eben offen. Da haben die Entwickler von Malware quasi ewig Zeit, weil sie nie geschlossen wird.

Du kannst bei Android schadhafte Prozesse nur mittels App ausführen. Es gibt keine Viren, die über Dateianhänge o.ä. auf dein Gerät gelangen und die Lücken ausnutzen, um dein Gerät zu rooten oder dir zu schaden.

Das ist schlicht falsch.

Wie soll eine SMS denn eine Sicherheitslücke ausnutzen und deinem Gerät schaden, indem sie bloß empfangen und geöffnet wird? Alles, was du per Download, SMS, E-Mail etc. auf dein Gerät bringst, hat nicht mehr Rechte im System als du. Es gibt keine SMS o.ä. die dein Gerät mit irgendwas infizieren.

Zum Beispiel mit Injections. In der Theorie sollte das keine Rechte haben, in der Praxis kann es zu Elevation of Priviledge kommen, sodass etwas durch falsche Konfiguration mehr Rechte bekommt als es sollte. Beispiele dafür gibt es zuhauf.


Jeder kann für sich entscheiden das Risiko einzugehen, jedoch sollte man sich auch den Gefahren bewusst sein. Ich rate sehr davon ab.

 

[MSSaar]

Wieviele Millionen von Geräten sind im Umlauf, die vom Hersteller nicht mehr mit Updates versorgt werden? Und wo sind die Meldungen in gleicher Anzahl? Habe noch keine News gelesen, wo diese unsicheren Geräte massenweise befallen und geschädigt wurden.

Die brain.apk hilft schon viel, wenn einer die nicht richtig nutzt, hilft kein Patch, und wenn er noch so aktuell ist.

 

[siggi%%44]

Genausogut kann er die ausnutzen oder das Wissen an Kriminelle verkaufen.

Das ist ebenso wahrscheinlich wie Opfer eines Angriffs zu werden, der durch offene Sicherheitslücken überhaupt erst möglich ist.

Das ist schlicht falsch.

Darf ich davon ausgehen, dass du uns noch mitteilen wirst, warum das so ist? Oder gibt es dazu keine Begründung?

Zum Beispiel mit Injections. In der Theorie sollte das keine Rechte haben, in der Praxis kann es zu Evelation of Priviledge kommen, sodass etwas durch falsche Konfiguration mehr Rechte bekommt als es sollte. Beispiele dafür gibt es zuhauf.

Kannst du das auch näher erläutern, damit sich hier jeder etwas darunter vorstellen kann?

 

[Tech-Nick]

@siggi%%44
Ich verlinke mal die CVE-Liste mit Stichwort "Android": https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=android (CVE listet öffentlich bekannt gewordene Schwachstellen auf). Alleine in diesem Jahr sind 19 Sicherheitslücken bekannt geworden.

Ein Beispiel daraus: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0136
Diese kann ein entfernter Angreifer ausnutzen (Severity ist laut NIST hoch: https://nvd.nist.gov/vuln/detail/CVE-2023-0136).

Generell gibt es zahlreiche Schwachstellen, bei denen "User interaction is not needed" vermerkt ist, da hilft dann auch die von @MSSaar angesprochene Brain.exe nichts.

Injection erkläre ich der Einfachheit halber am SQL-Beispiel:
Folgende SQL-Abfrage soll genau einen User liefern

SELECT * FROM Users WHERE UserId = 105

Wenn ich jetzt als UserID "105 = OR 1=1" eingebe, sieht die Abfrage folgendermaßen aus:

SELECT * FROM Users WHERE UserId = 105 OR 1=1

Also wird eine Liste mit allen Usern ausgespuckt, die aber nicht erwünscht ist. (Beispiel übernommen von: https://www.w3schools.com/sql/sql_injection.asp

Injection funktioniert natürlich nicht nur bei SQL, sondern grundsätzlich überall, wo ein Input verarbeitet werden muss, theoretisch auch bei SMS. Kannst ja die CVE mal nach "Android" + "Injection" durchsuchen, gibt 42 Treffer.

 

[MSSaar]

Dass Angriffe theoretisch möglich sind, steht außer Frage - nur die Auswirkungen auf die Praxis.

 

[siggi%%44]

Alleine in diesem Jahr sind 19 Sicherheitslücken bekannt geworden.

Nein! Und nun? Ich liebe ja diese Exploit-Panikmache. Also wenn jemand mit dem Begriff "Konjunktiv" bisher nichts anfangen konnte, gibt's dort massig Beispiele. "Es wäre möglich...", "Es könnte passieren, dass...", "Wenn jemand versuchen würde unter ganz bestimmten Voraussetzungen und angenommen das Handy des Opfers hat diesen Modus gerade aktiv und und und...".
Das könnten möglicherweise Exploits sein, die vielleicht unter gewissen Umständen gefährlich sein könnten, weil der Angreifer in der Lage sein könnte, etwas völlig abstraktes in der Praxis umzusetzen, wenn das Opfer auch zufälligerweise einen ganz bestimmten Kernel installiert hat, der dafür notwendig wäre.
Zum Glück ist Windows kein Open Source Project.

Die richtig fiesen Exploits, die ohne wenn und aber ihren Dienst tun und vor denen dich auch kein aktueller Patch schützt, werden nirgends im Netz erwähnt. Die liegen in den Schubladen bestimmter Regierungen. Aber sei beruhigt, niemand hier gehört zu der Zielgruppe solcher Angriffe.

Außerdem ist ein offener Bootloader eine weitaus größere Gefahr für dein Gerät als die Lücken, die monatlich von Google geschlossen werden. Natürlich findet man bei Android auch in Zukunft immer wieder Lücken.
Findet es denn niemand auffällig, dass die überwiegende Zahl der Lücken den Kernel betrifft? Jeder Hersteller, der sich am Linux Kernel zu schaffen macht, muss seinen Kernelcode veröffentlichen. Und wenn tagtäglich Millionen Devs und Hobbynerds diese Codes sichten, wird auch viel gefunden. Das kennen wir noch aus den Peaks vieler Coronawellen: Wo viel getestet wird,...

Kannst ja die CVE mal nach "Android" + "Injection" durchsuchen, gibt 42 Treffer.

Ja, 42 Treffer für ein abstraktes, mögliches Szenario, dessen konkrete Gefahr gar nicht erst formuliert werden kann, weil nämlich zu 95% kein Exploit geschrieben oder gefunden werden konnte.