1. Möchtest Du unser Team im Android OS-Bereich unterstützen? Details dazu findest du hier!
  1. quercus, 05.08.2011 #1
    quercus

    quercus Threadstarter Gast

    Wieder gibt es Sicherheitslöcher bei Android selbst. Diesesmal befindet sich im Webkit-Browser von Android ein Sicherheitsloch, das für gefährliche Angriffe verwendet werden kann.

    Hier gehts zur News
     
  2. wiesi_at, 05.08.2011 #2
    wiesi_at

    wiesi_at Fortgeschrittenes Mitglied

    Schön langsam wird die lahme Updatepolitik bei Android ganz schön lästig ....
     
    Zuletzt bearbeitet: 05.08.2011
  3. Slotte, 05.08.2011 #3
    Slotte

    Slotte Fortgeschrittenes Mitglied

    Dank CM7 hab ich 2.3.5 schon drauf, ist es damit dann auch schon behoben ?
     
  4. wiesi_at, 05.08.2011 #4
    wiesi_at

    wiesi_at Fortgeschrittenes Mitglied

    Bist du sicher das dein CM7 2.3.5 ist und nicht 2.3.4?
     
    Zuletzt bearbeitet: 05.08.2011
  5. streetking77, 05.08.2011 #5
    streetking77

    streetking77 Android-Experte

    Beim milestone gibt es ebenfalls 2.3.5:wubwub:
     
  6. Slotte, 05.08.2011 #6
    Slotte

    Slotte Fortgeschrittenes Mitglied

    Ganz sicher :) Ist seit Nightly #70 für das SGS so...

    [​IMG]
     
  7. wiesi_at, 05.08.2011 #7
    wiesi_at

    wiesi_at Fortgeschrittenes Mitglied

    Oh cool da hab ich wohl ein Release verpasst ^^
     
  8. geminga, 05.08.2011 #8
    geminga

    geminga Android-Lexikon


    Welches der DAU anschließend mit "Aj wos isn des?" anklickt und den Angriff auf seinen Smartphone und seine Intelligenz damit vollendet...
     
  9. Schnello, 05.08.2011 #9
    Schnello

    Schnello Android-Guru

    Als ob es nötig wäre drauf zu klicken...
     
  10. Gelangweilter, 05.08.2011 #10
    Gelangweilter

    Gelangweilter Ehrenmitglied

    Nun, da zeigt sich wieder ein grosser Schwachpunkt bei Android. Hersteller bringen keine Updates, ausser man hat zB ein Nexus.

    Einige Bestandteile von Android sollten einfach ganz einfach per MArket updatebar sein, egal ob ein Hersteller da seine eigene Oberflaeche drueberbastelt. Nunja, dann hoffen wir mal auf Android 4.0, irgendwann mal...
     
  11. Fr4gg0r, 05.08.2011 #11
    Fr4gg0r

    Fr4gg0r App-Anbieter (Werbung)

    Die News ist nicht vollständig.
    Zuvor muss noch eine spezielle App installiert werden, damit der Angriff funktioniert.
     
  12. Dissonanz, 06.08.2011 #12
    Dissonanz

    Dissonanz Fortgeschrittenes Mitglied

    Ohne dieses Deteil klänge die News aber um einiges harmloser und langweiliger - hier geht es nicht um Informationen, hier geht es um Panikmache und Schlagzeilen.
     
  13. Thyrion, 06.08.2011 #13
    Thyrion

    Thyrion Ehrenmitglied

    Mir fallen da spontan zwei Fragen ein:

    1) Wenn ich über den Web-Market installiere, erscheint ja auf dem Handy a) der Download und b) danach die Meldung, dass die App erfolgreich installiert wurde. Ist das bei diesem Exploit denn nicht so? Das wäre doch dann schonmal ein erstes Signal, dass was nicht stimmt. Mal abgesehen davon, dass man sich auch im Web-Market anmelden muss (ob das aber vom Handy aus automatisch geht, habe ich nicht probiert)

    2) Reicht für diesen Exploit (theoretisch) auch ein Werbebanner aus (über Drive-By-Download)? Das wäre ja dann etwas, was das ganze gefährlich machen würde. Eine infizierte App installieren ist ja schon etwas, wo man aufpassen könnte.
     
  14. geminga, 06.08.2011 #14
    geminga

    geminga Android-Lexikon

    Wahrscheinlich wird die normale Installationsroutine sinnvollerweise umgangen,sodass keine Meldung erscheint. Wahrscheinlich wird das Paket dann direkt in die App-Directory gezogen.
    Du kannst JavaScript-Code überall ausführen, auch in einem Banner ( Wenns nicht gerade ein gif Banner ist)

    Hier was zum Exploit:
    Android Browser Cross Application Scripting ≈ Packet Storm
     
    Zuletzt bearbeitet: 06.08.2011