Schwere Sicherheitslücke in 2.1/2.2

Haggy · 2011-05-18T09:59:59+0200

Ich befürchte bei Softwarefehlern ist, solange (noch) kein echter Schaden enstanden ist, erstmal Niemand in der Pflicht zur Nachbesserung. Vor Gericht, wenn dir jemand damit dein Konto plündert, sähe es vll. anders aus. Bis dahin...doof, aber is so. Google wird das flicken, aber wohl vorrangig um der negativen Berichterstattung zu entgehen.

fant0mas · 2011-05-18T10:22:04+0200

na wenn man sich aber anschaut dass das problem ja zumindest bei usern schon länger bekannt ist... (siehe verlinkter thread hier u.a.)... und es wohl auch mit 2.3.4 nicht 100% gefixed ist (bei Picasa soll es ja z.B. noch bestehen angeblich)... naja.

ich persönlich(!) finde ja auch, das als "Datenleck" zu bezeichnen ist in etwa wie sich über Einbrüche zu beklagen wenn man die ganze Zeit seine Haustür sperrangelweit offen stehen lässt.

ich gehe aber generell mit meinen daten und geräten viel vorsichtiger um als der durchschnitts-user. meine freundin z.b. hat auf diese meldung (war auf SpOn gestern z.B.) schon wesentlich panischer reagiert bis ich ihr das erklärt hab und was sie dagegen tun kann.

gefahr besteht also schon für die "0815er".

wegus · 2011-05-18T10:33:48+0200

fant0mas schrieb:
gefahr besteht also schon für die "0815er"

Das stimmt, die stellen aber die Masse! Von daher finde ich das schon übel, zumal es wirklich ein haarsträubend banaler Bug ist die Tokens unverschlüsselt zu senden ( allein beim implementieren muß das schon weh tun!).

In 2.3.4 gefixt heißt ja wohl in den Apps von 2.3.4 gefixt. Dann muß es diese Apps doch aber auch für frühere Systeme geben - oder ist da eine Android API mit im Spiel?

Camu · 2011-05-18T10:37:46+0200

Aber im Endeffekt betrifft es nicht nur Android sondern alle Programme die über ein offenes WLAN unverschlüsselt Daten austauschen, also auch jeder Laptop. Bei Facebook und Twitter ist das auch möglich (Sidejacking nur mal als Begriff). Mit dem Addon Firesheep für Firefox ist das relativ einfach zu sehen (ging auch ziemlich durch die Presse).

Sin-H · 2011-05-18T10:41:18+0200

Camu: das ist selbstverständlich, aber derzeit haben wir keine Möglichkeit, die Verschlüsselung anzumachen.

Dass das bei Computern auch so ist, ist klar. Das Problem ist analog zu dem hier auch nicht nur in offenen WLAN-Netzwerken, sondern überall, wo der Schlüssel gleich ist (da ist es zwar ungleich schwieriger, aber immer noch machbar, mitzuhören). Aber da kann man wenigstens auf die meisten Sachen verschlüsselt zugreifen. Alle meine Chats laufen mit OTR, und IRC mit SSL.

Cuxx · 2011-05-18T11:02:43+0200

Aber das Problem ist doch nicht neu...

Aber nebenbei, kann ich die automatische Verbindung mit offenen Wlans verhindern?
Weil selbst Zuhause hat ein Nachbar ein offenes Wlan mit stärkerem Signal. Somit wenn ich am Androiden Wlan einschalte, verbindet er sich automatisch damit.

Somit muss ich mich von diesem Netzwerk immer erst trennen und dann mit meinem verbinden :-(

Gelangweilter · 2011-05-18T11:10:29+0200

quatschkopf schrieb:
wenn die lücke wirklich so gravierend ist, ist dann der handyhersteller nicht verpflichtet diese zu schließen? also sozusagen z.b. eine neue android version anzubieten die die lücke schliesst? oder kann man auch kleinere patches bringen?

Tja, da haben wir es wieder, ein Nachteil von Android und zig angepassten Versionen der Handyhersteller. Da wird wohl garnichts mehr kommen, ist irgendwie shcon eine Frechheit... :angry:

mobilkom · 2011-05-18T11:25:49+0200

hi

leute seht es mal so , jetzt wissen wir wenigstens warum google die 2.3.3 erstmal gestoppt hat . gehe stark davon aus das hoffentlich die 2.3.4 "fehlerbereinigt" ausgeliefert wird !? :winki:

außerdem wer ein offenes wlan nutzt und sicherheitsrelevante dinge ausführt , dem ist nicht zu helfen !!

cu mobilkom

Cuxx · 2011-05-18T11:26:51+0200

Bezüglich Gmail & Wlan

Eigentlich gibt es doch auch updates dazu über den Market, also sollte dies doch auch lösbar sein, ohne Hub auf 2.3.4 oder nicht?

Also sollte das doch auch seitens Google machbar sein.

Einzige Problem wäre Sense und deren Ersatzapps

wegus · 2011-05-18T11:34:56+0200

Es ist wohl so, das die Google-Service API betroffen ist und die ist Bestandteil des OS wie es aussieht. Habe gerade diesen Link hier bekommen:

Catching authTokens in the wild-Universitt Ulm

Es gibt also Lösungen indem man die Apps austauscht, so dass sie https nutzen statt http, indem man die Tokenlaufzeit auf z.B. 1h setzt...

Grundsätzlich muß aber die Google-Service API ausgetauscht werden, damit ein Fallback zu http nicht mehr möglich ist. Allein letzteres wird dann wohl mit neuem OS gehen.

Es ist also ein bißchen von beidem: ein behebbares Problem und eine peinliche Nummer für Google.

Resident · 2011-05-18T11:38:54+0200

Generell muss Google seine Updates überdenken und ein einfaches Schließen von Sicherheitslücken ermöglichen. Unabhängig von der unterstützen Android Version und der Oberfläche des Herstellers.
Der normale Verbraucher liest nun mal keine Foren oder will sich Gedanken über sein eigenes Verhalten machen. Das Gerät sollte einfach sicher funktionieren und das möglichst ohne komplizierte Einstellungen und Updates über PC.

wegus · 2011-05-18T11:52:04+0200

Resident schrieb:
Unabhängig von der unterstützen Android Version und der Oberfläche des Herstellers.

Da stimme ich Dir zu, aber das wird vermutlich auf ein Redesign mit sauberer Trennung hinauslaufen. Jedenfalls klingt das alles so, als sei diese Trennung nicht so wirklich gegeben. Das alles erinnert an das Lehrgeld das Microsoft und auch Apple mal zahlen mußte. Offenbar ist jetzt Google dran

tavoc · 2011-05-18T11:55:04+0200

Soweit man den Versprechungen von Rubin trauen kann, soll ja in den nächsten Versionen eine Trennung vorgesehen sein. Oder zumindest ein Fortschritt in diese Richtung.

Aber peinlich ist dieses Problem alle mal.

Lion13 · 2011-05-18T12:08:02+0200

What Android users can do:

Update to Android 2.3.4. Update your phone to the current Android version as soon as possible. However, depending on your phone vendor you may have to wait weeks/months before an update is available for your phone. Hopefully this will change in the future.

Switch off automatic synchronization in the settings menu when connecting with open Wifi networks.

Let your device forget an open network you previously connected to, to prevent automatic reconnection (long press network name and select forget)

The best protection at the moment is to avoid open Wifi networks at all when using affected apps.

(Quelle: Uni Ulm)

Der erste Punkt mit dem empfohlenen Update auf Android 2.3.4 liegt natürlich nicht im Ermessen der User... Alles andere läßt sich denke ich mit relativ wenig Aufwand realisieren.

Sin-H · 2011-05-18T12:18:49+0200

ich verstehe trotzdem noch nicht, warum das nur offene WLANs betreffen soll. Es ist doch wie beim Computer, man kann überall mithören, auch wenn es ungemein schwieriger ist, wenn das Netzwerk nicht offen ist.

Und, soweit ich weiß, beinhaltet der UMTS-Standard zwar Verschlüsselung, aber das wird oft nicht umgesetzt, da ist man also auch nicht besonders sicher unterwegs. Aber beim letzten Punkt lass ich mich gerne eines Besseren belehren.

ramdroid · 2011-05-18T12:24:29+0200

Sin-H schrieb:
ich verstehe trotzdem noch nicht, warum das nur offene WLANs betreffen soll. Es ist doch wie beim Computer, man kann überall mithören, auch wenn es ungemein schwieriger ist, wenn das Netzwerk nicht offen ist.

Und, soweit ich weiß, beinhaltet der UMTS-Standard zwar Verschlüsselung, aber das wird oft nicht umgesetzt, da ist man also auch nicht besonders sicher unterwegs. Aber beim letzten Punkt lass ich mich gerne eines Besseren belehren.

Es gibt sogenannte IMSI-Catcher die man sich so für 2000 selbst bauen kann. Die emulieren dann einen Cell tower und können den gesamten Verkehr in der Nähe mitlauschen.

wegus · 2011-05-18T12:25:10+0200

Sin-H schrieb:
ich verstehe trotzdem noch nicht, warum das nur offene WLANs betreffen soll. Es ist doch wie beim Computer, man kann überall mithören, auch wenn es ungemein schwieriger ist, wenn das Netzwerk nicht offen ist.

Das wird auch stimmen! Der Unterschied wird sein, dass jeder dritte DEPP versuchen kann ein WLAN zum erreichen einer Man in the Middle-Attack aufzustellen. An GSM oder UMTS-Zellen kommen nur die Provider ran. Die haben es dann aber sicher ähnlich einfach

Scorpan · 2011-05-18T12:36:00+0200

Ich glaube, dass ich hinter dem Mond sitze.
Nehmen wir mal an ich logge mich in ein unverschlüsseltes Netzwerk ein, wie können diese meine Daten lesen? Wo stehen diese Daten?

Haggy · 2011-05-18T12:40:02+0200

Du erhältst beim Anmelden eine IP in diesem Netz. Damit kann jeder der den Netzwerkverkehr mittels Sniffer mithört die Pakete mitlesen...im Klartext. Die Sniffer sind so idiotensicher gebaut, dafür muss man nicht mal Ahnung haben.

tavoc · 2011-05-18T12:45:02+0200

probier es einfach mal daheim aus mit deinem PC. Z.b. per Wireshark

Schwere Sicherheitslücke in 2.1/2.2

Haggy

Stammgast

fant0mas

Dauergast

wegus

Erfahrenes Mitglied

Camu

Ambitioniertes Mitglied

Sin-H

Erfahrenes Mitglied

Cuxx

Erfahrenes Mitglied

Gelangweilter

Ehrenmitglied

mobilkom

Neues Mitglied

Cuxx

Erfahrenes Mitglied

wegus

Erfahrenes Mitglied

Resident

Fortgeschrittenes Mitglied

wegus

Erfahrenes Mitglied

tavoc

Fortgeschrittenes Mitglied

Lion13

Ehrenmitglied

Sin-H

Erfahrenes Mitglied

ramdroid

Stammgast

wegus

Erfahrenes Mitglied

Scorpan

Erfahrenes Mitglied

Haggy

Stammgast

tavoc

Fortgeschrittenes Mitglied

Ähnliche Themen