WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   Schwere Android-Sicherheitslücke entdeckt (http://www.wcm.at/forum/showthread.php?t=246503)

Christoph 04.07.2013 11:13
Schwere Android-Sicherheitslücke entdeckt
 
Zitat:
Bis zu 900 Millionen Android-Geräte könnten von einer neuen, schweren Sicherheitslücke betroffen sein, die vollen Zugriff auf alle Gerätefunktionen erlaubt. Dabei wird Schadsoftware über eine manipulierte Installationsdatei eingeschleust, deren Signatur jedoch nicht modifiziert wird. Die Signatur erlaubt dem System, die Herkunft der Datei zu überprüfen.

Das mobile Betriebssystem Android weist laut Sicherheits-Experten des StartUps Bluebox eine schwerwiegende Sicherheitslücke auf, die bereits in der mehr als vier Jahre alten Version 1.6 alias "Donut" zu finden ist und nie korrigiert wurde. Dadurch könnten bis zu 900 Millionen Geräte von der Sicherheitslücke betroffen sein. Die Lücke erlaubt es Angreifern, Schadsoftware in eine Android-Installationsdatei (APK) einzuschleusen, wobei aber die Signatur erhalten bleibt und so kein Verdacht geschöpft wird. Dadurch kann aus jeder beliebigen App eine mögliche Bedrohung werden.

Voller Zugriff
Wenn die App als Update für eine System-App getarnt wird, könnte der Trojaner zudem Zugang zu allen Funktionen des Smartphones oder Tablets erhalten. Das umfasst neben dem Mitlesen und Mithören von SMS und Telefonanrufen auch das Auslesen aller gespeicherten Inhalte und Passwörter auf dem Gerät. Auch die Gefahr, dass ein Hacker mit Hilfe der gehackten Geräte ein Botnetz aufbaut, besteht. Die Sicherheitslücke wurde Google bereits im Februar gemeldet, an einer Lösung werde bereits gearbeitet.

Kein Schutz
Details zur Sicherheitslücke werden auf der Hackerkonferenz Black Hat präsentiert. Derzeit kann das Risiko der Sicherheitslücke nur durch besondere Achtsamkeit eingeschränkt werden, Schutz davor gibt es derzeit nicht. Nun liegt es vor allem an den Herstellern, eine schnelle Lösung in Form von Updates anzubieten.
Quelle: http://futurezone.at/digitallife/168...e-entdeckt.php
http://www.golem.de/news/bluebox-sic...07-100195.html

Lowrider20 04.07.2013 17:15
Und genau deswegen müßten die Hersteller eine Core-Version auf den Handies installieren mit ihrer Oberfläche. Dann wären solche Probleme leichter zu flicken. Aber so müssens wieder die komplette Firmware umstricken. Und alte Versionen bleiben über ("gibt ja eh neue Handies mit der neuen, sicheren Version...")

riesermauf 05.07.2013 18:31
Es muss ja für die NSA irgendwo ein Türl offen bleiben (da haben sie gleich 900 Millionen Nutzer zum überwachen),
wer weiß was Google in Android alles noch eingebaut hat.

zonediver 05.07.2013 20:03
...und Apple in iOS alles versteckt hat... :eek:

Lowrider20 05.07.2013 20:51
...und Microsoft in Windows/Office/Phone/... versteckt hat...

Baron 05.07.2013 21:07
... und Linux erst- wer sagt denn das da nicht ein paar begnadete NSA Entwickler mit entwickeln?

Christoph 05.07.2013 21:25
Und in den Festnetzapparaten. :look:

Und jezt genug gescherzt, zu viel OT.

Don Manuel 05.07.2013 22:33
Zitat:
Zitat von Baron (Beitrag 2488012)
... und Linux erst- wer sagt denn das da nicht ein paar begnadete NSA Entwickler mit entwickeln?
Stets zu Diensten Herr Baron: Lightweight Portable Security ein live-Linux, frei für die Öffentlichkeit, direkt vom US-Verteidigungsministerium (DOD, Department of Defense) - selbstredend nicht in OmniBoot integriert ;) .
Aber sonst haben Geheimdienstler auch nicht mehr Möglichkeiten als andere Internet-Kriminelle, Linux-code zu kompromittieren.

edit: sorry für weiteres OT, aber diese Info dürfte doch für ein paar neu sein.

Baron 05.07.2013 22:45
Danke- na was es nicht alles gibt! War IMHO gar nicht so als Witz gemeint - schließlich basiert ja Android auf Linux- oder?

Don Manuel 06.07.2013 07:55
Auch Apple OS-X basiert auf Linux. Aber auf Linux zu basieren, muss nicht bedeuten, die Linux-Prinzipien einzuhalten. Du kannst quasi ein Windows produzieren und verkaufen, das auf Linux basiert. Es zählen eben immer die persönlichen und finanziellen Interessen. Mark Shuttleworth und sein Ubuntu sind imho ja auch auf dem besten Weg zum kommerziellen Linux-Projekt.
Einigen wir uns drauf: "Linux" alleine sagt noch nicht viel aus. Die genaue Philosophie eines Projektes ist entscheidend. Wie ja auch Android mit einem Desktop-OS wenig zu tun hat.

Baron 06.07.2013 16:16
Thx- man lernt nie aus!

Christoph 10.07.2013 12:43
Zitat:
Patch für Android-Desaster: Zero-Day-Exploit in 900 Millionen Smartphones und Tablets entdeckt

Super-GAU für Android-Nutzer: Eine Schwachstelle in Android betraf alle Android-Smartphones der vergangenen vier Jahre - seit System 1.6 - und damit potenziell fast 900 Millionen Geräte. Jetzt hat Google den Patch an die Hersteller ausgegeben, Samsung ist schon dabei ihn auszuliefern, zitierte Zdnet eine Google-Sprecherin.

Die Lücke tauchte laut der Sicherheitsfirma Bluebox Security im Sicherheitsmodell von Android auf und erlaubte es Hackern Apps zu manipulieren, ohne dass App Store, Smartphone oder Nutzer davon etwas mitbekommen. Datenklau über das Aufsetzen von mobilen Botnets, Ausspionieren und sogar die Kontrolle jeder installierten App war dadurch möglich - das Abgreifen der gespeicherten Passwörter inklusive.

Gaukler im System

Laut Bluebox-CTO Jeff Forristall liegt das Problem, dass der Trojaner derart freie Bahn hat, an der Art wie Android Apps legitimiert und verifiziert werden. "Alle Android-Anwendungen beinhalten kryptografische Signaturen, die Android dazu nutzt zu entscheiden, ob eine App in Ordnung ist. Die aktuelle Schwachstelle macht es aber möglich, den Anwendungs-Code zu verändern, ohne die Signatur überhaupt anzufassen", so Forristal in einem Blog-Beitrag. Auf diese Weise kann der Hacker dem System vorgaukeln, es handele sich um eine unveränderte und damit saubere App.

Google wisse seit Februar über das Problem Bescheid, so Bluebox, und habe seine Hardware-Partner informiert. Die müssten Android-Updates für Smartphones und Tablets bauen und sie zeitnah ausrollen. Allerdings, so Forristal diplomatisch, "unterscheiden sich die Release-Zyklen innerhalb der Geräte-Hersteller-Infrastruktur." Anders ausgedrückt: viele Android-Geräte sind sicherheitstechnisch nicht auf dem neuesten Stand und bei vielen Geräten wird es wohl überhaupt keine Updates mehr geben.

So schützen Sie sich

Die Lücke ist ziemlich fies und bisher ist kein Tipp bekannt, wie man sich zu 100 Prozent schützen kann. Am wirksamsten sollte ein Update für Android sein, doch darauf muss man bei der Vielfalt an Geräten und Herstellern wohl recht lange warten. Nutzer sollten sich auf möglichst wenige Quellen für Android-Apps beschränken, etwa auf den Google Play Store oder den Amazon App-Shop. Dort stellen die Entwickler ihre Apps selbst ein, eine manipulierte APK-Datei müsste schon über einen geknackten Entwickler-Account dort eingeschleust werden. Vermeiden sollte man dubiose Quellen für APKs und allzu tolle App-Schnäppchen, die an den großen Stores vorbei verteilt werden. Zweiter Sicherheitstipp: Security-Software für Android kann in APKs versteckte Malware finden oder verdächtiges Verhalten aufdecken. Wer dafür kein Geld ausgeben will, findet in der Gratis-App avast Mobile Security eine gute Alternative. (sis/jg)
Quelle: http://business.chip.de/news/Patch-f..._62866253.html


Alle Zeitangaben in WEZ +2. Es ist jetzt 23:51 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag