CM13/14.1: Linux Kernel will im Sekundentakt auf Internet zugreifen ...

  • 50 Antworten
  • Neuester Beitrag
Diskutiere CM13/14.1: Linux Kernel will im Sekundentakt auf Internet zugreifen ... im Allgemeines zu Root, Kernel und Custom-ROMs im Bereich Android Allgemein.
Heizoelkocher

Heizoelkocher

Erfahrenes Mitglied
... und zwar auf verschiedenste IP-Adressen.
Die AFWall blockierts, und alles funktioniert.
Habt Ihr dieses Phenomen auch?

Schöne Grüße!
 
R

rudolf

Enthusiast
Ich sehe in deinem Link nichts was mit dem Thread zu tun hat.
 
Sunny

Sunny

Gesperrt
@rudolf
Zitat aus dem Artikel:
"Da aber zahlreiche Linux-Webserver, Android-Devices und Desktop-Distributionen nach wie vor die älteren Versionen verwenden, stellt die Schwachstelle eine ernsthafte Bedrohung für sehr viele Internet-Nutzer dar.
 
Zuletzt bearbeitet:
Heizoelkocher

Heizoelkocher

Erfahrenes Mitglied
Wenn das neueste Android 7.1 bzw. 14.1 die im Artikel beschriebene Schwachstelle haben sollte, wäre es (von außen) angreifbar.

Warum aber der Linux-Kernal aber im Sekundetakt auf's Netz zugreifen will, lese ich da nicht heraus. Dann müsste im neuesten CM14.1 ja schon ein Botnet-Client eingebaut sein . . .

Zugriffsziele sind laut Protokoll:
224.0.0.22:0
79.199.204.51:5006 // Telekom
172.16.72.1:60657 // mein Router, der Port ist aber völlig unbekannt
172.16.72.1:58135 // mein Router, der Port ist aber völlig unbekannt
5.148.175.198:5222 // Nine Internet Solutions AG ?????
172.217.22.14:80 // irgend etwas in Californien ????
172.217.22.4:443
158.85.58.109:443 // District Of Columbia, Washington
194.25.134.51:993 // vermutlich Telekom



Nachtrag: es handelt sich um ein Tablet Z mit CM13 und ein G3 mit CM14.1, beide die gleichen Protokolleinträge.
 
Sunny

Sunny

Gesperrt
@Heizoelkocher
Welches Handy hast du?
Ich würde eventuell mal versuchen einen anderen Kernel zu flashen.
Normal ist das Verhalten deines Kernels meines Wissens nach jedenfalls nicht
 
Heizoelkocher

Heizoelkocher

Erfahrenes Mitglied
Es sind zwei völlig unterschiedliche Geräte: ein Tablet Z mit CM13 und ein LG G3 mit CM14.1, beide die gleichen Protokolleinträge.
Das G3 vurde erst kürzlich wieder völlig platt gemacht und mit dem CM14.1 geflasht.

Es muss also am mit dem CynogenMod gelieferten Kernal liegen . . .
 
Sunny

Sunny

Gesperrt
@Heizoelkocher
Ja, das denke ich auch. Versuche es doch bitte mal mit einer AOSP Rom.
Dann wäre es interessant zu sehen ob das Problem dort auch auftritt. Für das G3 gibt es glaub was von Tesla Ground Zero Roms. Die basiert auf AOSP

Post Data
@Heizoelkocher
Probier es mal hier mit:
Hey guys. Sunday Android N 7.1 is up for the LG G3! Enjoy! flashing…
 
Zuletzt bearbeitet:
Sunny

Sunny

Gesperrt
@Heizoelkocher
Kannst du mir einen system Log raus lassen bevor du ein anderes System installierst?
Mit dem aLogcat (free) - logcat – Android-Apps auf Google Play zb.

Und wenn es geht eine komplette Liste der IP Adressen bitte.
spookcity138 (senior developer xda)
Wird sich das dann auch mal anschauen, er ist auch der Meinung das es NICHT normal ist und wird uns helfen der Sache auf den Grund zu gehen.
LG
Sunny76
 
Heizoelkocher

Heizoelkocher

Erfahrenes Mitglied
So, hier habe ich noch einmal ein paar Daten zusammen gestellt.

Im LogCat kann ich wenig erkennen. Im Gegenteil: da stehen Dinge drin, die auf meinem Gerät nicht installiert sind (z.B. Windfinder Pro). Ich schicke es Dir , Sunny76, per PN zu.

--------

So sehen die ständigen "Blockiert"-Meldungen im Betrieb aus:


Protokollübersicht:


Protokoll für Kernel, Detailansicht:


Protokoll für Kernel, Detailansicht, "alte Ansicht" (lt. Einstellungen AFWall):


Auf dem Tablet Z mit CM13 sehen alles sehr ähnlich aus:
 
Sunny

Sunny

Gesperrt
@Heizoelkocher
Ich habe wie gesagt mit den Entwicklern dieser Rom bzw des Kernels Kontakt.
Wenn es dir recht ist werde ich dich später in die Diskussion auf XDA mit einbeziehen.
Bin gerade in der Schweiz und hab Roaming und schlechtes Netz noch da zu
LG
Sunny76
 
Cynob

Cynob

Enthusiast
Ja was sagen die verantwortlichen Entwickler dazu?
Es muss ja nicht der Kernel direkt sein - es kann ja auch ein Programm den Kernel triggern.
Die RFC-5961 Lücke ist mMn unwarscheinlich - habs jetzt nur überflogen aber anscheinend muss der Angreifer im gleichen Netzwerk sein was bei nem Smartphone recht unpraktisch ist.
Bevor man jetzt anfängt alles auseinander zu nehmen um zu gucken was da wie falsch läuft würd mich erstmal das Statement vom Erbauer interessieren :D
 
Cynob

Cynob

Enthusiast
:) da weiß der sich anscheinend selbst nicht zu helfen...
Ich würd jetzt einfach mal das installieren und einrichten Packet Capture – Android-Apps auf Google Play
Dann mal aus Spass die Firewall deaktivieren und mit dem Tool den traffic mitschneiden ( muss ja nur ein paar Sekunden sein so oft wie die Anfragen gestellt werden) Vielleicht kann man aus dem Wlan dumb Rückschlüsse auf die requests bekommen.
 
Sunny

Sunny

Gesperrt
@Cynob
Hennymcc ist wohl ziemlich beschäftigt im Moment und auch nicht wirklich interessiert.
Spookcity138 hat den LogCat aber eben auch kaum Zeit,wenn auch interessiert.
@Heizoelkocher
Könntest du das von Cynob vorgeschlagene mal installieren und schauen was passiert?
 
vetzki

vetzki

Philosoph
0 ist ja der root user, evtl ists gar nicth der kernel sondern root apps und afwall zeigt es nur falsch an
 
Sunny

Sunny

Gesperrt
@vetzki
Eben das vermuten die Entwickler auch.
 
Cynob

Cynob

Enthusiast
Das wird auch so sein...
Was hätte der Kernel davon? :D