Schwere Sicherheitslücke in 2.1/2.2

First Blood · 2011-05-20T19:12:24+0200

Sin-H schrieb:
wenn du kein Internet an hast, bist du doch auch nicht betroffen von der Lücke, die kommt nur von der Synchronisation. Oder hast du das Internet nur deswegen ausgemacht?

Merken, dass sich was geändert hat, kannst du nur, wenn du versuchst, dich selbst zu attackieren mit diesen tcpdumps. Das geht nur, wenn du root bist, oder du versuchst, von einem Computer aus die Pakete, die dein Handy abschickt, zu sniffen, was bei verschlüsselten WLANs ziemlich schwierig ist (aber nicht unmöglich, besonders dann nicht, wenn, wie bei fast allen privaten WLANs, der Schlüssel gleich ist).

Nein Ich bin nur selten im Internet über das Smartphone.

Ab und zu mal Emails abrufen...kurz ins wkw schauen.

Ich mach es nur an wenn Ich es brauche.

Es ist hauptsächlich aus wegen der Akkulaufzeit.

Sonst gibt es keinen anderen Grund.

Über Wlan gehe Ich nicht ins Internet.

Ich habe die Daten für mein Heimnetzwerk zwar eingegeben...aber

komischerweise bekommt das LG keine Verbindung zum WLAN Router.

Bei einem Bekannten funktioniert es einwandfrei...bei mir daheim nicht!

crobe · 2011-05-20T19:54:52+0200

Das klingt so als wenn du deinen Google Kalender oder deine Google Kontakte nicht synchronisierst. Dann hast du GARKEIN Problem.

First Blood · 2011-05-20T20:12:09+0200

crobe schrieb:
Das klingt so als wenn du deinen Google Kalender oder deine Google Kontakte nicht synchronisierst. Dann hast du GARKEIN Problem.

Doch Ich habe es mal synchronisiert.

Aber über das Mobilfunknetz!

Soweit Ich weiss betrifft die Sicherheitslücke nur offene WLAN Netze!?

Lion13 · 2011-05-20T20:15:03+0200

First Blood schrieb:
Soweit Ich weiss betrifft die Sicherheitslücke nur offene WLAN Netze!?

Korrekt. Nutzt du kein WLAN, hast du kein Problem!

Sin-H · 2011-05-20T20:27:25+0200

First Blood schrieb:
Soweit Ich weiss betrifft die Sicherheitslücke nur offene WLAN Netze!?

https://www.android-hilfe.de/forum/...ke-in-2-1-2-2.104050-page-2.html#post-1443895

der UMTS-Standard sieht eigentlich Verschlüsselung vor, aber ich zweifle sehr stark daran, dass die Provider dies konsequent umsetzen. Ich weiß, dass das Abhören von Gesprächen in derselben Mobilfunkzelle mit der richtigen Ausrüstung recht einfach möglich ist. Was nicht verschlüsselt ist, kann abgehört werden, das ist unabhängig vom Betriebssystem und der Verbindung.

Aber zur Beruhigung: heutzutage ist es eh ein Wunder, wenn man mal NICHT abgehört werden kann (SSL wurde ja auch schon vor einigen Jahren geknackt), und das Abhören von offenen WLAN-Netzwerken kann jeder Depp, das andere Zeug nicht

crobe · 2011-05-20T22:42:52+0200

Sin-H schrieb:
der UMTS-Standard sieht eigentlich Verschlüsselung vor, aber ich zweifle sehr stark daran, dass die Provider dies konsequent umsetzen. Ich weiß, dass das Abhören von Gesprächen in derselben Mobilfunkzelle mit der richtigen Ausrüstung recht einfach möglich ist. Was nicht verschlüsselt ist, kann abgehört werden, das ist unabhängig vom Betriebssystem und der Verbindung.

Aber zur Beruhigung: heutzutage ist es eh ein Wunder, wenn man mal NICHT abgehört werden kann (SSL wurde ja auch schon vor einigen Jahren geknackt), und das Abhören von offenen WLAN-Netzwerken kann jeder Depp, das andere Zeug nicht

Es kostet immernoch 1000$ nen IMSI catcher zu bauen und die UMTS Verschlüsselung ist nicht geknackt, nur die GSM Verschlüsselung lässt sich mit ein paar Tbyte rainbow tables innerhalb kurzer zeit brechen.

Und dass der ALgorithmus der SSL Verschlüsselung geknackt ist möchte ich gerne sehen, RSA oder AES haben schwächen aber bisher kein Problem.

Und es geht eher darum von irgendwelchen deppen belauscht zu werden, stichwort skript kiddie, das hast du richtig erkannt.

Zum Thema: xkcd: Security

Sin-H · 2011-05-20T22:51:59+0200

News: meine AuthTokens werden nun verschlüsselt übertragen ^^

farmerjohn · 2011-05-21T09:21:45+0200

Bei mir siehts meiner laienhaften Betrachtung nach so aus, dass ich je nach Gerät unterschiedliche Ergebnisse habe.

Legend mit CM7: Kalender und Picasa wird unverschlüsselt übertragen.

Desire mit Leedroid 2.4: Picasa unverschlüsselt, zum Kalender kann ich nichts finden, scheint demnach verschlüsselt zu sein.

Meine Kontakte synchronisier ich nicht mit Google und werde das auch zu Testzwecken nicht tun.

Sin-H · 2011-05-21T10:03:35+0200

ich habe picasa nicht ausprobiert, aber Kontakte und Kalender funktionieren.
a) vielleicht liegt es daran, dass noch nicht alle server gepatcht wurden und dein eines Gerät gerade zufällig über einen Server synchronisieren wollte, der eben noch nach dem alten Mechanismus funktioniert.

b) ich glaube, auf der Quelle sogar gelesen zu haben, wass man bei Picasa noch länger warten müsse.

Lion13 · 2011-05-21T10:08:37+0200

Sin-H schrieb:
b) ich glaube, auf der Quelle sogar gelesen zu haben, wass man bei Picasa noch länger warten müsse.

Das ist richtig - Picasa stammt von externen Entwicklern, da ist Google noch noch in der "Findungsphase", wie das gefixt werden kann.

crobe · 2011-05-21T11:22:52+0200

Moin,

Sin-H schrieb:
News: meine AuthTokens werden nun verschlüsselt übertragen ^^

kannst du ausführen, inwieweit was verschlüsselt wird? Bei der aktuellen Kommunikation habe ich einen GET request vom Handy, gefolgt von einem TLS gesicherten teil, gefolgt von einem ungesicherten http Teil, worin wieder einige GET requests und Nutzdaten per POST unverschlüsselt gesendet werden.

Bei mir wird immernoch alles unverschlüsselt gesendet und das Token hat sich seit gestern nicht geändert.

farmerjohn schrieb:
Bei mir siehts meiner laienhaften Betrachtung nach so aus, dass ich je nach Gerät unterschiedliche Ergebnisse habe.

Legend mit CM7: Kalender und Picasa wird unverschlüsselt übertragen.

Desire mit Leedroid 2.4: Picasa unverschlüsselt, zum Kalender kann ich nichts finden, scheint demnach verschlüsselt zu sein.

CM7 sollte laut Aussage von Google ( Android 2.3.4 ) den Kalender verschlüsselt übertragen, hast du dich verguckt oder hat google gelogen?

Und wonach hast du in der Leedroid kommunikation gesucht?

/edit: Rennt bei mir jetzt auch alles verschlüsselt.

Sin-H · 2011-05-21T13:54:35+0200

crobe schrieb:
kannst du ausführen, inwieweit was verschlüsselt wird? Bei der aktuellen Kommunikation habe ich einen GET request vom Handy, gefolgt von einem TLS gesicherten teil, gefolgt von einem ungesicherten http Teil, worin wieder einige GET requests und Nutzdaten per POST unverschlüsselt gesendet werden.

TLSv1 Encrypted Alert
TCP 51710 > https [FIN,ACK] ....
DNS Standard query A android.clients.google.com
TCP 50710 > https [SYN] ...
TCP https > 50710 [SYN,ACK]
...
TLSv1 Client Hello
TLSv1 Server Hello
...
TLSv1 Client Key Exchange, Change Ciper Spec, Encrypted Handshake Message
...
TLSv1 Application Data
...

usw, alles in TLSv1 und https.

farmerjohn · 2011-05-21T14:50:50+0200

crobe schrieb:
CM7 sollte laut Aussage von Google ( Android 2.3.4 ) den Kalender verschlüsselt übertragen, hast du dich verguckt oder hat google gelogen?

Weder noch, CM7 basiert auf 2.3.3.

Und wonach hast du in der Leedroid kommunikation gesucht?

Na, ganz einfach nach dem Teil, den ich beim Legend-Dump schon gesehen hatte. (Im Klartext GET api/calendar/blablabla). Es sieht beim Leedroid aus wie jetzt von Sin-H beschrieben.

@Sin-H Ja, es wurden unterschiedliche Server bei Google angesprochen.

Quick results: Click search for more Results…

Schwere Sicherheitslücke in 2.1/2.2

First Blood

Neues Mitglied

crobe

Stammgast

First Blood

Neues Mitglied

Lion13

Ehrenmitglied

Sin-H

Erfahrenes Mitglied

crobe

Stammgast

Sin-H

Erfahrenes Mitglied

farmerjohn

Erfahrenes Mitglied

Sin-H

Erfahrenes Mitglied

Lion13

Ehrenmitglied

crobe

Stammgast

Sin-H

Erfahrenes Mitglied

farmerjohn

Erfahrenes Mitglied

Ähnliche Themen