Sicherheitslücke bei Smartphones mit Exynos-Modem (CVE-2023-24033)

Puh... durchatmen... ganz langsam... Sicherheitsgurt wieder abschnallen... die Muskeln entspannen... und bis zum nächsten mal. ;)
RealAudipower schrieb:
Meine Güte da hat aber schnell einer aus einer kleinen Diskussion über eine beliebige Sicherheitslücke und die damit Verbundende schlechte Informationspolitik von Hardwareherstellern und Google als Lieferant des Betriebssystems, eine ausgewachsene Verschwörungs Grundlage gezüchtet.
Da braucht man nichts zu züchten. Das macht den Presse-Heinis unheimlich viel Spaß, weil man Macht ausüben kann, die Leute verängstigen kann, und damit auch noch seine Auflage erhöht.

Aber, selbstverständlich ist das nicht auf Sicherheitslücken in Software oder Hardware beschränkt, sondern gilt für so gut wie alles heutzutage. Dass wir das gar nicht mehr merken, weil es zur Normalität geworden ist, heißt nicht, dass es früher nicht mal anders war.
 
Zuletzt bearbeitet:
Darum geb ich auf solche Berichte nichts und lebe einfach wie immer weiter...das Leben ist zu kurz
 
  • Danke
Reaktionen: chk142
RealAudipower schrieb:
es gab nie einen handfesten Grund irgendwas abzuschalten, Insofern ja schalte VoLTE und VoWiFi wieder ein es wird nichts Passiren egal ob mit oder ohne Patch. Die Schwachstelle ist ja schon ne weile bekannt und da ist auch nichts Passiert.
Uff. Ich hatte noch keinen schweren Autounfall, brauch ich mich nicht mehr anschnallen. Mal unabhängig von der konkreten Sicherheitslücke ist das halt eine sehr kurzsichtige Aussage.
Beiträge automatisch zusammengeführt:

chk142 schrieb:
Puh... durchatmen... ganz langsam... Sicherheitsgurt wieder abschnallen... die Muskeln entspannen... und bis zum nächsten mal. ;)

Da braucht man nichts zu züchten. Das macht den Presse-Heinis unheimlich viel Spaß, weil man Macht ausüben kann, die Leute verängstigen kann, und damit auch noch seine Auflage erhöht.

Aber, selbstverständlich ist das nicht auf Sicherheitslücken in Software oder Hardware beschränkt, sondern gilt für so gut wie alles heutzutage. Dass wir das gar nicht mehr merken, weil es zur Normalität geworden ist, heißt nicht, dass es früher nicht mal anders war.
Das ist schon fast pathologisch bei Dir, dass mit der Presse. Schalt da mal eine Gang runter, wir wissen es mittlerweile.
 
Zuletzt bearbeitet:
Na ja ich verstehe wo her du kommst aber der Vergleich mit dem Gurt ist klar Quark, dürfte dir aber selbst bewusst sein. Bei Fahrantritt Lege ich den Gurt an weil, ist auch einfach ist schon da. Hier ist es ja die Abwesenheit eines Gurtes / Patches. Das Problem mit den Lücken ist 1: Es gibt jeden Tag welche Überall, die meisten bekommt man nicht mit. Und 2: Bei den meisten bekomme ich sie zu spät mit und oder kann nichts unternehmen. Und wegen hören, sagen Funktionen Abschalten ist bisschen drüber. Ich bin hier halt auf Google / Handyhersteller angewiesen, das sie einen neuen besseren Gurt liefern. Und da habe ich als Endkunde Null Einfluss und muss warten.


Und bei der presse habt ihr wohl beide recht. Ja viele "Reporter" zündeln gern gibt halt Schlagzeilen und davon leben die Plattformen / Seiten. Und ja es ist müßig immer wieder darüber zu Diskutieren, aber es todschweigen ist auch keine Lösung. Gibt halt genug uninformierte die da schon Massiv Verunsichert werden für nichts. In beiden Fällen kann man ja einfach auch mal Ignorieren wen es einen Stört.

Aber die Lösung für dieses gesamt Problem liegt halt in den Händen von Firmen, und die machen sich halt nicht mehr mühe wie nötig und manchmal tun sie nicht mal das Nötigste. Bessere Kommunikation aus erster Hand mit klarer Einordnung und klaren Handlungsempfehlungen. Und bessere Verteilung von Patches mit dazugehöriger Entwarnung. Würde da vielen Probleme Lösen, aber Panikmache durch "Presse" ohne Hand und Fuss. Kann es nicht sein. Oder 1-2 % der betroffenen irgendwelche Tipps zu geben, die ungeprüft sind, um eine Gefahr unbekannter Größe abzuwehren.Den leider wird nur die Schwere bewertet, nicht aber Durchführbarkeit oder andere Umstände. Das Ding Bekommt die Aufschrift kritisch aber Null Info ob das Überhaupt Nutzbar ist. Oder eher nur ein Fall unter Laborbedingungen. Vielleicht gibt es Sicherheitsmaßnahmen beim Provider XY die so etwas verhindern ?

Es gibt einfach keine guten / Belastbaren Infos, und solange Fallen solche Sicherheitslecks wohl unter Lebensumstände. Man geht ja auch jeden Tag über die Straße weil meist nix passiert, wen man aufpasst. Das ist alles nicht Optimal ja nicht mal gut aber besser haben wir es nicht im Moment.
 
Zuletzt bearbeitet:
RealAudipower schrieb:
Na ja ich verstehe wo her du kommst aber der Vergleich mit dem Gurt ist klar Quark, dürfte dir aber selbst bewusst sein. Bei Fahrantritt Lege
Nein, du hast meinen Einwand nicht verstanden. Mir ging es explizit um das "bisher nix passiert, also vorbeugende Massnahmen unnötig" was du als Argument für VoLTE/Wifi Calling wieder anschalten gebracht hast. Das halte ich für Quark und da passt der Vergleich durchaus zum Gurt.

ich den Gurt an weil, ist auch einfach ist schon da. Hier ist es ja die Abwesenheit eines Gurtes / Patches. Das Problem mit den Lücken ist 1: Es gibt jeden Tag welche Überall, die meisten bekommt man nicht mit. Und 2: Bei den meisten bekomme ich sie zu spät mit und oder kann nichts unternehmen. Und wegen hören, sagen Funktionen Abschalten ist bisschen drüber. Ich bin hier halt auf Google / Handyhersteller
Da das Empfehlungen von Google Project Zeor sind, das mit dem Abschalten, ist das so ziemlich das Gegenteil von Hören/Sagen.

Und bei der presse habt ihr wohl beide recht. Ja viele "Reporter" zündeln gern gibt halt Schlagzeilen und davon leben die Plattformen / Seiten. Und ja es ist müßig immer wieder darüber zu Diskutieren, aber es todschweigen ist auch keine Lösung. Gibt halt genug uninformierte die da schon Massiv Verunsichert werden für nichts. In beiden Fällen kann man ja einfach auch mal Ignorieren wen es einen Stört.
Also ich habe die Meldung jetzt ein paar gelesen bei verschiedenen Medien und überall so der Tenor: einfach ausnutzbar, das deaktivieren, dann ist gut. Das ist weder sensationsheischend noch panikmachend. Informativ halt. Und natürlich habe ich die Meldung X mal gelesen. Zeit, Spiegel, Golem, Heise, Twitter, Android-Hilfe. Ich konsumiere mehr als früher, natürlich entsteht da der Eindruck, dass da mehr TamTam gemacht wird.

Aber die Lösung für dieses gesamt Problem liegt halt in den Händen von Firmen, und die machen sich halt nicht mehr mühe wie nötig und manchmal tun sie nicht mal das Nötigste. Bessere Kommunikation aus erster Hand mit klarer Einordnung und klaren Handlungsempfehlungen. Und bessere Verteilung von Patches mit dazugehöriger Entwarnung. Würde da vielen Probleme Lösen, aber
Naja. Die Lücke betrifft ja mehrere Hersteller. Und die Handlungsempfehlung ist doch da, verstehe den Einwand nicht. Für die Patches ist jeder Hersteller selbst zuständig und wir wissen ja wie das bei Android läuft...

Panikmache durch "Presse" ohne Hand und Fuss. Kann es nicht sein. Oder 1-2 % der betroffenen irgendwelche Tipps zu geben, die ungeprüft sind, um eine Gefahr unbekannter Größe abzuwehren.Den leider wird nur die Schwere bewertet, nicht aber Durchführbarkeit oder andere Umstände. Das Ding Bekommt die Aufschrift kritisch aber Null Info ob das Überhaupt Nutzbar ist. Oder eher nur ein Fall unter Laborbedingungen. Vielleicht gibt es Sicherheitsmaßnahmen beim Provider XY die so etwas verhindern ?
Nein, das sind Infos die da sind. Sie ist einfach zu nutzen (deswegen die frühe Veröffentlich), sie erlaubt Remote Code Execution (SuperGAU einer Sicherheitslücke) und man braucht erst mal nur die Nummer eines Handys. Damit ist eine Gefahr gegeben, ob sie genutzt wird, weiß keiner. Und ob einer der 100ten Provider weltweit dagegen was hat, kann ja nicht die Aufgabe von Samsung oder so sein, dass rauszufinden.

Ich verstehe die ganze Kritik nicht. Die Sicherheitslücke ist kritisch und kann einfach genutzt werden - ob sie wird, weiß keiner. Es gibt eine einfache Lösung um das zu beheben. Ich sehe da weder Panikmache oder sonst was. Ausser natürlich man will das auf Teufel komm raus so sehen.
 
Das mit der Quellen-Angabe ist manchmal anstrengend. Wie das so ist, wenn einer vom anderen abschreibt (wie im Fall von Chip).
Im Chip-Artikel kein Link zur Quelle bei Samsung. Der Chip Artikel gibt als Quelle Schmidtis Blog an.
Auf Schmidtis Blog kein Link zur Quelle bei Samsung. Der Artikel auf Schmidtis Blog gibt als Quelle Sammyfans an.
Wer bis hierhin gelesen hat, weiß u.a.
„Samsung nimmt die Sicherheit seiner Kunden sehr ernst“, betonte der Verantwortliche des Unternehmens.

Auf Sammfans als Quelle ein Screenshot, immerhin. Ein Link zur Quelle bei Samsung würde die User wohl verwirren oder man möchte sie um jeden Preis auf der eigenen Seite festhalten.

Original-Aussage im Kontext des Threads bei Samsung:
https://us.community.samsung.com/t5...os-variants-vulnerability/m-p/2532368#M102003
Erst bei Sammyfans bzw. an der Original-Quelle erfährt man, dass "der Verantwortliche des Unternehmens" ein Community Moderator ist.

Ändert aber nix an der Einstufung und dem Gefährdungspotential der Lücke. Um das Einzuordnen hilft der link zu Googles Project Zero (der auch schon mehrfach aktualisiert wurde) inkl. der dort aufgelisteten weiterführenden Informationen.
 
Zuletzt bearbeitet:
Lustig ist auch die Abwertung der CVS durch den "Verantwortlichen" von Samsung. Die wichtigsten der CVS werden von unabhängiger Stelle als kritisch eingestuft.
Die News zitieren den "Verantwortlichen" mit "keine kritisch oder schwerwiegend", ohne die eigenmächtige Abwertung irgendwie in Frage zu stellen - Qualitätsjournalismus halt.
 
Ja bekanntes Problem viele Quellen machen keine guten Quellen, selbst wenn man das Stumpfe abschreiben mal raus lässt. Vieles sind dann ein X von Firma Y schrieb irgendwo. Da sollte man ansetzen und solche Sicherheitsberichte nicht in den Luftleeren Raum Posten. Sondern mit einer klaren Begleitung und Einordnung. Und eben nicht nur ein "Mitarbeiter"
 
@orgshooter Ich hab Tatsächlich auch ein Samsung Galaxy A71 (4G) aber mit ein Snapdragon 730 CPU / Chipsatz :D

Das ist nicht betroffen oder ^^
 
Nein, sollten nur Exynos-Modelle betroffen (gewesen) sein.
Samsung hatte ja bereits schnell gefixt, was hier im Thread bereits erwähnt wurde!
 
orgshooter schrieb:
Samsung hatte ja bereits schnell gefixt,
Samsung hatte 1 von 4 als kritisch eingestuften CVE bei einigen wenigen Serien mit dem Märzupdate gefixt. Laut dem Samsung Member Moderator sollen die anderen CVE und anderen Modelle mit dem Aprilupdate bedient werden. Die Aussage ist immer noch ziemlich unspezifisch. (Wieviel von den 18? Wenigstens alle 4 kritischen?) Und von Januar bis April ist meiner Meinung nach auch nicht besonders schnell.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: Blacky12, WolfgangN-63 und orgshooter
Danke für die Klarstellung!
 
  • Danke
Reaktionen: KnudBoerge
Vll wird auch vieles nicht so heiss gegessen wie gekocht. Samsung ist immerhin der Hersteller dieser Modems und wird wohl am besten wissen, welche Gefahren entstehen oder nicht. ich glaube kaum, das Chip, computerbild oder Google Project Zero diese tiefen Einblicke in das Modem haben, wie Samsung selber. Und bisher scheint ja auch nix passiert zu sein. Wenn es im April gefixt wird, ist es doch ok
 
Sicher weiß Samsung am besten über das Modem Bescheid. Die Einschätzung was sie tun, wird aber massiv von der Frage "was kostet es" getriggert und nicht von einer realen Einschätzung der Lage. Ein Patch kostet vermutlich relativ viel Geld, mit den ganzen Tests, Genehmigungen und dem Ausrollen. Da überlegt man sicher 2x ob man das ausserhalb der Reihe machen will.

Es gibt halt hier 2 Ansätze. Maximale Sicherheit, egal zu welchem Preis. Oder man macht halt eine Kosten-/Nutzenanalyse. Man muss ja auch bedenken: im Zweifel hat den Schaden der Kunde und nicht wirklich Samsung. Ist dann halt ein Softwarefehler, kann man nix machen... Sind wir ja gewohnt, sieht man angesichts der Reaktionen hier ja schon.
 
  • Danke
  • Traurig
Reaktionen: KnudBoerge, Blacky12, proudlyS23plus und eine weitere Person
Wenns Samsung so ums Geld ginge, da ja, wie du sagst jeder Patch, Update Geld kostet, würden sie nicht so regelmässig und zuverlässig und vor allem für so lange Jahre Updates anbieten. Dann würde es auch reichen alle 2 Monate oder quartalsweise wie es zb Xiaomi etc macht. Ich denke bei diesem Konzern ist Geld was updates angeht, weniger das Problem. Dazu fahren sie schon zu lange regelmässig updates und werden dies bereits optimiert haben. Und einen schlechten Ruf wegen nicht geschlossener kritischer Lücken wird man sich auch nicht unbedingt leisten wollen. Wie gesagt, wer ausserhalb der Hersteller, die den kompletten Einblick in iihre Produkte haben, sich anmasst "mehr zu wissen" und eine Lücke schlimmer zu machen als sie laut dem eigenen Hersteller ist, halte ich für wenig interessant. Auch die Tensor CPUs von Google werden von Samsung gebaut, die wohl nicht betroffen sind, oder Google "will es nicht sagen". Also weiss Samsung wohl schon bescheid und wird angemessen reagieren. Immer diese ewige in Fragestellerei und aus einer Vermutung eine Verschwörung zu machen, bringt niemanden weiter. Es sind doch alles nur Vermutungen von hinten bis vorne auf den letzten 4 Seiten. Mir ist kein einziger Fall bekannt, zumindest laut Internetsuche, das diese Lücke irgendwo ausgenutzt wurde. Und die Reaktionen hier, rühren von den sich in jedem Kommentar aufbauchenden Gerüchten, nicht mehr. Würde der Eröffnungsthread so stehen bleiben, und als reine Info dienen, gäbe es auch keine "solchen Reaktionen". Bitte immer mal Fair gegenüber Samsung bleiben. Und nein, ich bin kein Fanboy, aber ich respektieren deren Zuverlässigkeit und Leistung
 
  • Danke
Reaktionen: DasLicht
Also. Erst einmal guten Tag in die Runde. Ich bin hier neu und seid kurzem Besitzer eines der hier betroffenen Samsung Geräte. Ich versuche meine Sicht der Dinge darzulegen. Nicht mehr, nicht weniger. Natürlich ist es ärgerlich, daß es diese Probleme mit den Modems gibt. Aber solche Probleme wird es immer wieder geben. Zumindest gibt es kurzfristige Ansätze zur Überbrückung der Zeit, bis der Fix erscheint. Ich kann nur sagen, daß ich bewusst zu Samsung gewechselt bin. Mit ein Hauptgrund sind die jahrelang garantierten Versions und Sicherheitsupdates. Es könnte sich lohnen, mal einen Blick in andere Chats zu werfen. Was dort angestellt wird, um überhaupt Updates zu bekommen. Dann sieht man, wie gut Samsung das im Grunde handhabt. Aus eigener Erfahrung. Ich besitze noch ein Poco Gerät. Dieses ist 2021 auf den Markt gekommen. Ich konnte mich noch an ein Update im Februar 2022 erinnern. Danach kam gar nichts mehr. Bis zum Oktober. Also ganze 8 Monate tat sich da nichts in Sachen Update. Dann wurde OTA ein Update angeboten. Dieses installiert. Kurze Zeit später wurde dieses wieder zurückgezogen. Die User sind eben die Softwaretester. Von dieser Version ist es momentan nicht möglich, auf die aktuellste Version upzugraden. Also hat auch seitdem auch wieder nichts getan. Es gibt Updates, können aber nicht installiert werden. Und bis die europäische Version kommt, wird es wohl Mai. Also wieder 7 Monate.
Das einzige, was ich damit sagen will. Andere Hersteller interessieren solche Probleme gar nicht. Ich könnte mir dort sogar vorstellen, daß dort über eine lange Zeit gar nichts gefixt wird.
Das alles nur zu Einordnung. Nicht mehr, nicht weniger.
 
  • Danke
  • Freude
Reaktionen: ahlutum, DasLicht, loopi und 3 andere
Update Stand 01.03.23 ist verfügbar.
 
Welches meinst Du? Das Samsung Firmware update? Das war schon Anfang März verfügbar. Oder das Google System update? Das war vor einer Woche verfügbar.
 
Sicherheitspatch-Ebene : 1. März 2023.
Kann natürlich auch sein, das es schon älter ist und mir erst gerade angeboten wurde.
 

Ähnliche Themen

R
Antworten
29
Aufrufe
1.773
bananensaft
B
mbox
Antworten
4
Aufrufe
253
maik005
maik005
Zurück
Oben Unten