Schwere Sicherheitslücke in 2.1/2.2

matze91 · 2011-05-19T20:10:51+0200

Custom Roms bekommen das Update natürlich nicht von Google...
Hier muss der Dev nachbessern.

Alle anderen bekommen es automatisch in den nächsten Tagen. Egal welches Gerät und welcher Hersteller!

Thyrion · 2011-05-19T20:11:54+0200

matt_jackson schrieb:
Bekommt man mit einem Custom Rom auch das Server update ?

Nein, denn das ist ja ausschließlich für Server gedacht.

matt_jackson · 2011-05-19T20:21:56+0200

Thx @ matze91
Du hast genau den Tenor meiner Frage im eigentlichem verstanden und beantwortet.

Thx @ Thyrion
kk, verstehe nun das Missverständnis

Gruß
MaTT

matze91 · 2011-05-19T20:23:48+0200

@matt_jackson

Du hast hier einfach alle ein wenig mit dem Server irritiert

Du meintest vielleicht, das Update vom Google Server - aber ist ja auch egal

Geeks sind nun mal ein ganz eigenes Völkchen^^

crobe · 2011-05-19T21:09:45+0200

Hallo,

matt_jackson schrieb:
Ich denke im Grunde immer über meine Fragen nach, trotz deinem link, der mir im Grunde kein zusätzliches Wissen vermittelte, bleibt meine Frage nach wie vor unbeantwortet.
Verstehe desweiteren auch nicht deine herablassende Art und Weise.

entschuldige bitte wenn du dich durch meine kurze Antwort auf den Schlips getreten fühlst, aber deine Frage war einfach eine Steilvorlage

Aber es ist ja alles geklärt.

-rob

Sin-H · 2011-05-19T22:57:37+0200

farmerjohn schrieb:
Halte uns mal bitte auf dem Laufenden. Ich habe es zwar geschafft die pcap-Datei zu erstellen und in Wireshark zu laden, aber dann hört es bei meiner bescheidenen Intelligenz auch auf. Wüsste nicht, wie ich in dem Wust erkenne, was da im einzelnen übertragen wird. Oder hast Du nen Tipp, wonach ich suchen müsste?

wenn du die Datei im wireshark suchst, gibt es pakete, die so aussehen, wenn es noch nicht gefixt ist:
GET /proxy/contacts/groups/username@gmail.com.......
und dann steht da drin:
GoogleLogin auth=DQAA.....

das nach dem auth ist das AuthToken

ich werde täglich einen dump machen und schauen, ob sich was ändert.

First Blood · 2011-05-20T06:32:41+0200

matze91 schrieb:
Custom Roms bekommen das Update natürlich nicht von Google...
Hier muss der Dev nachbessern.

Alle anderen bekommen es automatisch in den nächsten Tagen. Egal welches Gerät und welcher Hersteller!

Für den Fall das Ich es überlesen habe....aber wie bekommt man das Update?

Übers Funknetz?

Und was muss Ich am Smartphone einstellen das Ich es bekomme!?

Ich habe das LG P990!

Sin-H · 2011-05-20T07:45:51+0200

welches der drei Worte "keine", "Nutzerhandlung" und "notwendig" ist denn so schwer zu verstehen?

btw: heute morgen auch noch plaintext tokens. Naja, lassen wir ihnen mal ein paar Tage Zeit ^^

farmerjohn · 2011-05-20T10:24:47+0200

Danke für die Beschreibung, nach GET, meiner E-Mail und Auth hatte ich auch gesucht, aber nichts gefunden. Ich mach nachher aber noch einen dump und guck es mir dann nochmal genauer an.

Sent from my HTC Desire using Tapatalk

bas-t! · 2011-05-20T10:31:13+0200

Wenn "keine", "Nutzerhandlung" und "notwendig" ist, kann man dann überhaupt nachvollziehen, ob das Update eingfespielt ist?

Hatshipuh · 2011-05-20T10:53:01+0200

Der Patch ist doch nur für die Server von Google, die mit den Handys kommunizieren, oder sehe ich das falsch?
Somit kommt gar kein Patch für die Handys an sich.

fabian485 · 2011-05-20T11:49:02+0200

Das sehe ich auch so, anscheinend haben die meisten Leute (auch die Redakteure etablierter Nachrichtenmagazine) das lesen verlernt.

Das Problem wird rein serverseitig behoben (Redirect auf https?), es ist nicht nötig etwas auf den Endgeräten zu installieren.

matze91 · 2011-05-20T11:50:40+0200

Naja so stimmt es auch nicht ganz, man muss den Apps schon sagen, das sie über https senden sollen.
Das wird ja gerade durch das Update gemacht, welches auf alle Devices kommt.

Lion13 · 2011-05-20T11:57:32+0200

Ich darf vielleicht noch einmal die offizielle Stellungnahme von Google erwähnen:

Today were starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days.

(Quelle: Androidpolice.com)

Das impliziert schon, daß es nicht nur serverseitig bei Google zu Änderungen kommt, sondern eben auch ein Fix auf die Geräte verteilt wird.

crobe · 2011-05-20T12:09:27+0200

In der gleichen Quelle wird auch geschrieben:

Clarification: The fix is going out server side – meaning local authTokens will be erased and replaced with new (secure) ones upon logging back in to the affected service. Thanks to commenters for pointing this out.

"Roll out" kann auch Google intern sein. Wenn die einen Fix von Systemdateien auf ALLE Geräte pushen könnten, hätte jeder schon Gingerbread drauf.

Lion13 · 2011-05-20T12:20:54+0200

Hoppla - das Update der Meldung ("Clarification") hatte ich ganz übersehen.

bas-t! · 2011-05-20T12:25:46+0200

crobe schrieb:
"Roll out" kann auch Google intern sein. Wenn die einen Fix von Systemdateien auf ALLE Geräte pushen könnten, hätte jeder schon Gingerbread drauf.

Ja, da wollte ich ja drauf hinaus. Bei Updates die auf die Geräte gespielt werden steckt ja meist auch der Netzbetreiber/Hersteller mit drin...

fant0mas · 2011-05-20T13:44:44+0200

Also waere damit auch die Frage inwiefern ROMs benachteiligt sind geklaert:
Es is piepegal, da eh nix am Telefon selbst veraendert wird.

Korrekt?

First Blood · 2011-05-20T17:56:09+0200

Sin-H schrieb:
welches der drei Worte "keine", "Nutzerhandlung" und "notwendig" ist denn so schwer zu verstehen?

btw: heute morgen auch noch plaintext tokens. Naja, lassen wir ihnen mal ein paar Tage Zeit ^^

Na ja es ist eher schwer zu verstehen das man nicht eine richtige Antwort

bekommt!

Ich hab z.b. keinen Datenverkehr an...also keinen Kontakt ins Internet über

das Mobilfunknetz!

Dann habe Ich dazu noch Kontensynchronisierung abgestellt.

Aber Ich denke das wird man da nicht brauchen.

Dann habe Ich auch keine automatische Softwareaktualisierung an!

Brauche Ich ja auch nicht da Ich kein Internet an habe!

Langt es also wenn nur das Internet aktiviert ist!?

Und woran merke Ich dann das sich was geändert hat?

Sin-H · 2011-05-20T18:52:35+0200

wenn du kein Internet an hast, bist du doch auch nicht betroffen von der Lücke, die kommt nur von der Synchronisation. Oder hast du das Internet nur deswegen ausgemacht?

Merken, dass sich was geändert hat, kannst du nur, wenn du versuchst, dich selbst zu attackieren mit diesen tcpdumps. Das geht nur, wenn du root bist, oder du versuchst, von einem Computer aus die Pakete, die dein Handy abschickt, zu sniffen, was bei verschlüsselten WLANs ziemlich schwierig ist (aber nicht unmöglich, besonders dann nicht, wenn, wie bei fast allen privaten WLANs, der Schlüssel gleich ist).

Schwere Sicherheitslücke in 2.1/2.2

matze91

Erfahrenes Mitglied

Thyrion

Ehrenmitglied

matt_jackson

Dauergast

matze91

Erfahrenes Mitglied

crobe

Stammgast

Sin-H

Erfahrenes Mitglied

First Blood

Neues Mitglied

Sin-H

Erfahrenes Mitglied

farmerjohn

Erfahrenes Mitglied

bas-t!

Ambitioniertes Mitglied

Hatshipuh

Enthusiast

fabian485

Stammgast

matze91

Erfahrenes Mitglied

Lion13

Ehrenmitglied

crobe

Stammgast

Lion13

Ehrenmitglied

bas-t!

Ambitioniertes Mitglied

fant0mas

Dauergast

First Blood

Neues Mitglied

Sin-H

Erfahrenes Mitglied

Ähnliche Themen