1. Heizoelkocher, 14.12.2016 #1
    Heizoelkocher

    Heizoelkocher Threadstarter Fortgeschrittenes Mitglied

    ... und zwar auf verschiedenste IP-Adressen.
    Die AFWall blockierts, und alles funktioniert.
    Habt Ihr dieses Phenomen auch?

    Schöne Grüße!
     
  2. Sunny, 14.12.2016 #2
    Sunny

    Sunny Moderator Mitarbeiter

  3. rudolf, 14.12.2016 #3
    rudolf

    rudolf Android-Lexikon

    Ich sehe in deinem Link nichts was mit dem Thread zu tun hat.
     
  4. Sunny, 15.12.2016 #4
    Sunny

    Sunny Moderator Mitarbeiter

    @rudolf
    Zitat aus dem Artikel:
    "Da aber zahlreiche Linux-Webserver, Android-Devices und Desktop-Distributionen nach wie vor die älteren Versionen verwenden, stellt die Schwachstelle eine ernsthafte Bedrohung für sehr viele Internet-Nutzer dar.
     
    Zuletzt bearbeitet: 15.12.2016
  5. Heizoelkocher, 15.12.2016 #5
    Heizoelkocher

    Heizoelkocher Threadstarter Fortgeschrittenes Mitglied

    Wenn das neueste Android 7.1 bzw. 14.1 die im Artikel beschriebene Schwachstelle haben sollte, wäre es (von außen) angreifbar.

    Warum aber der Linux-Kernal aber im Sekundetakt auf's Netz zugreifen will, lese ich da nicht heraus. Dann müsste im neuesten CM14.1 ja schon ein Botnet-Client eingebaut sein . . .

    Zugriffsziele sind laut Protokoll:
    224.0.0.22:0
    79.199.204.51:5006 // Telekom
    172.16.72.1:60657 // mein Router, der Port ist aber völlig unbekannt
    172.16.72.1:58135 // mein Router, der Port ist aber völlig unbekannt
    5.148.175.198:5222 // Nine Internet Solutions AG ?????
    172.217.22.14:80 // irgend etwas in Californien ????
    172.217.22.4:443
    158.85.58.109:443 // District Of Columbia, Washington
    194.25.134.51:993 // vermutlich Telekom

    [​IMG]

    Nachtrag: es handelt sich um ein Tablet Z mit CM13 und ein G3 mit CM14.1, beide die gleichen Protokolleinträge.
     
  6. Sunny, 15.12.2016 #6
    Sunny

    Sunny Moderator Mitarbeiter

    @Heizoelkocher
    Welches Handy hast du?
    Ich würde eventuell mal versuchen einen anderen Kernel zu flashen.
    Normal ist das Verhalten deines Kernels meines Wissens nach jedenfalls nicht
     
  7. Heizoelkocher, 15.12.2016 #7
    Heizoelkocher

    Heizoelkocher Threadstarter Fortgeschrittenes Mitglied

    Es sind zwei völlig unterschiedliche Geräte: ein Tablet Z mit CM13 und ein LG G3 mit CM14.1, beide die gleichen Protokolleinträge.
    Das G3 vurde erst kürzlich wieder völlig platt gemacht und mit dem CM14.1 geflasht.

    Es muss also am mit dem CynogenMod gelieferten Kernal liegen . . .
     
  8. Sunny, 15.12.2016 #8
    Sunny

    Sunny Moderator Mitarbeiter

    @Heizoelkocher
    Ja, das denke ich auch. Versuche es doch bitte mal mit einer AOSP Rom.
    Dann wäre es interessant zu sehen ob das Problem dort auch auftritt. Für das G3 gibt es glaub was von Tesla Ground Zero Roms. Die basiert auf AOSP

    Post Data
    @Heizoelkocher
    Probier es mal hier mit:
    Hey guys. Sunday Android N 7.1 is up for the LG G3! Enjoy! flashing…
     
    Zuletzt bearbeitet: 15.12.2016
  9. Sunny, 15.12.2016 #9
    Sunny

    Sunny Moderator Mitarbeiter

    @Heizoelkocher
    Kannst du mir einen system Log raus lassen bevor du ein anderes System installierst?
    Mit dem aLogcat (free) - logcat – Android-Apps auf Google Play zb.

    Und wenn es geht eine komplette Liste der IP Adressen bitte.
    spookcity138 (senior developer xda)
    Wird sich das dann auch mal anschauen, er ist auch der Meinung das es NICHT normal ist und wird uns helfen der Sache auf den Grund zu gehen.
    LG
    Sunny76
     
  10. rudolf, 15.12.2016 #10
    rudolf

    rudolf Android-Lexikon

    Sunny gefällt das.
  11. Heizoelkocher, 16.12.2016 #11
    Heizoelkocher

    Heizoelkocher Threadstarter Fortgeschrittenes Mitglied

    So, hier habe ich noch einmal ein paar Daten zusammen gestellt.

    Im LogCat kann ich wenig erkennen. Im Gegenteil: da stehen Dinge drin, die auf meinem Gerät nicht installiert sind (z.B. Windfinder Pro). Ich schicke es Dir , Sunny76, per PN zu.

    --------

    So sehen die ständigen "Blockiert"-Meldungen im Betrieb aus:
    [​IMG]

    Protokollübersicht:
    [​IMG]

    Protokoll für Kernel, Detailansicht:
    [​IMG]

    Protokoll für Kernel, Detailansicht, "alte Ansicht" (lt. Einstellungen AFWall):
    [​IMG]

    Auf dem Tablet Z mit CM13 sehen alles sehr ähnlich aus:
    [​IMG]
     
    Sunny gefällt das.
  12. Sunny, 16.12.2016 #12
    Sunny

    Sunny Moderator Mitarbeiter

    @Heizoelkocher
    Ich habe wie gesagt mit den Entwicklern dieser Rom bzw des Kernels Kontakt.
    Wenn es dir recht ist werde ich dich später in die Diskussion auf XDA mit einbeziehen.
    Bin gerade in der Schweiz und hab Roaming und schlechtes Netz noch da zu
    LG
    Sunny76
     
    Heizoelkocher gefällt das.
  13. Heizoelkocher, 16.12.2016 #13
    Heizoelkocher

    Heizoelkocher Threadstarter Fortgeschrittenes Mitglied

    Ja, danke! Wäre wirklich interessant zu hören, was man dazu sagt.

    LG
     
    Zuletzt bearbeitet: 18.12.2016
  14. Cynob, 18.12.2016 #14
    Cynob

    Cynob Android-Guru

    Ja was sagen die verantwortlichen Entwickler dazu?
    Es muss ja nicht der Kernel direkt sein - es kann ja auch ein Programm den Kernel triggern.
    Die RFC-5961 Lücke ist mMn unwarscheinlich - habs jetzt nur überflogen aber anscheinend muss der Angreifer im gleichen Netzwerk sein was bei nem Smartphone recht unpraktisch ist.
    Bevor man jetzt anfängt alles auseinander zu nehmen um zu gucken was da wie falsch läuft würd mich erstmal das Statement vom Erbauer interessieren :D
     
  15. Sunny, 18.12.2016 #15
    Sunny

    Sunny Moderator Mitarbeiter

  16. Cynob, 18.12.2016 #16
    Cynob

    Cynob Android-Guru

    :) da weiß der sich anscheinend selbst nicht zu helfen...
    Ich würd jetzt einfach mal das installieren und einrichten Packet Capture – Android-Apps auf Google Play
    Dann mal aus Spass die Firewall deaktivieren und mit dem Tool den traffic mitschneiden ( muss ja nur ein paar Sekunden sein so oft wie die Anfragen gestellt werden) Vielleicht kann man aus dem Wlan dumb Rückschlüsse auf die requests bekommen.
     
  17. Sunny, 18.12.2016 #17
    Sunny

    Sunny Moderator Mitarbeiter

    @Cynob
    Hennymcc ist wohl ziemlich beschäftigt im Moment und auch nicht wirklich interessiert.
    Spookcity138 hat den LogCat aber eben auch kaum Zeit,wenn auch interessiert.
    @Heizoelkocher
    Könntest du das von Cynob vorgeschlagene mal installieren und schauen was passiert?
     
  18. vetzki, 18.12.2016 #18
    vetzki

    vetzki Android-Ikone

    0 ist ja der root user, evtl ists gar nicth der kernel sondern root apps und afwall zeigt es nur falsch an
     
  19. Sunny, 18.12.2016 #19
    Sunny

    Sunny Moderator Mitarbeiter

    @vetzki
    Eben das vermuten die Entwickler auch.
     
  20. Cynob, 18.12.2016 #20
    Cynob

    Cynob Android-Guru

    Das wird auch so sein...
    Was hätte der Kernel davon? :D
     

Users found this page by searching for:

  1. cm14