Was ist Root? - Was, wie, warum, für wen: Root unter Android

[ALF-Berlin]

Das ist aber beides eine Scheinsicherheit. Jede App mit Root-Rechten kann Droidwall umgehen. Böswillige Apps nutz(t)en einen Exploit, um sich Root-Rechte (Stichwort: Dreamdroid) zu verschaffen (am SuperUser-App vorbei) -> Du bekommst es nicht mit, wiegst dich aber in Sicherheit. Was du letztendlich erreichst: Die braven Apps hältst du in Zaum.

Das ist ja wenigstens mal eine Aussage zum Thema root-Sicherheit

FRAGE Kann ich das so verstehen:

Jede App, der ich einmal das root-Recht gebe, könnte dies Ausnutzen, um in Zukunft alles mögliche zu machen, ohne dass ich es als normaler User merken und verhindern kann??? Normaler User heißt: Ich verwende nur Apps (inklusive SuperUser-App und DroidWall) und ich kenne mich kaum mit Linux aus.

Auf einem gerooteten Handy können sich bösartige Anwendungen ohne beim SuperUser zu fragen durch Nutzung einer Lücke Rechte oder Möglichkeiten verschaffen, die sie sich auf dem gleichen ungerooteten Handy nicht verschaffen können???

Die Dreamdroid-Lücke soll ja noch auf vielen Handys existieren???

 

[Thyrion]

Die Lücke funktioniert(e) ja auch bei nicht gerooteten Geräten (und benutzte im Prinzip die gleiche Methode, wie viele Rooting-Mechanismen auch).

Von daher: Ein App, dem du Root-Rechte einräumst, kann sich auf dem System komplett (sofern es nicht noch andere Sicherheits-Mechanismen, wie z.B. S-ON (hier konkret: nicht veränderbare Systempartition) gibt) austoben, ohne das du davon etwas mitbekommst (außer evtl. durch andere Auffälligkeiten, wie hohes Datenaufkommen etc).

Eine App, dass die Lücke ausnutzt genauso (und das ohne gerootetes Gerät).

 

[ALF-Berlin]

Die Sicherheitsdiskussion hatten wir schon hundertmal. Im Wesentlichen läuft es jedesmal darauf hinaus, dass man hauptsächlich aufpassen kann, was man installiert.

Danke. Das ist wenigstens mal eine schöne Kurzfassung.

Das mit dem "huntertmal Diskutieren" ist echt der Nachteil von Foren. Ich hätte lieber alle Infos an einer Stelle, statt mich hier durch das Forum zu quälen und nur alle paar Seiten mal eine Info zu finden. Sorry.

 

[Infostudent]

Mir war auch nicht bekannt, dass das schon so oft diskutiert wurde. Ich habe hier bisher aber auch sehr häufig erlebt, dass das Problem heruntergespielt und verharmlost wird.

Wie auf PCs auch ist der "normale" Modus (ohne Root) schon ein gewisser Schutz. Natürlich KANN ein Angreifer trotzdem das System manipulieren. Allerdings darf man sich Angriffe nicht so vorstellen, dass da jemand ein kleines Programm schreibt und das kann dann von selbst alles mögliche beschreiben, sondern das ist ein langwieriger Prozess. Der Angreifer muss Hürden umgehen, durch Sicherheitslücken oder indem er bestimmte Systemteile zum Absturz bringt (Buffer Overflow). Das kann man sich ein bisschen vorstellen wie beim Schlossknacken. Da muss man auch mit seinen Werkzeugen kleinste Riegel oder so umlegen, bis das Schloss schließlich offen ist.

Deswegen ist der Verzicht auf Rootrechts halt schon auch ein Schutz. Denn dann muss ein Angreifer eben eine weitere Barriere umgehen, was ihn Zeit und Nerven kostet. Die Hacker vom CIA oder so hält sowas nicht auf. Skript-Kiddies vielleicht schon.

Zu den Internetrechten die viele Apps anfordern: Die rühren oft von Analyse-Tools der Entwickler her. Damit können sie sehen wieviele Benutzer welche Funktion nutzen oder so. Außerdem bieten viele Apps ja auch einen Rückkanal für Bugs etc an.

 

[GaNex]

Hallo!

Gute Beschreibung, aber wer sich nicht 1000 %ig damit auskennt, lieber die Finger davon lassen und eine/n Fachmann/frau zu Rate ziehen.

 

[Infostudent]

Jetzt kommt offenbar mal Schwung in die öffentliche Diskussion:
heise online - Kaspersky: Android ist das neue Windows

 

[google-loves-data]

Jetzt kommt offenbar mal Schwung in die öffentliche Diskussion:
heise online - Kaspersky: Android ist das neue Windows

Auch die nachlässige Updatepolitik der Gerätehersteller, durch die Unmengen von Geräten noch veraltete, verwundbare Android-Versionen einsetzen, bemängelt der Hersteller: "Kann in dieser Situation von Sicherheit denn überhaupt die Rede sein?", fragt Kaspersky. Nach Angaben von Google nutzen noch knapp 96 Prozent aller Android-Nutzer Versionen, die älter als das im Dezember erschienene Android 2.3 sind.

Das ist auch für mich als User ein Riesenärgernis. Wir werden von der Industrie verarscht. Ich will doch nicht ein neues Gerät kaufen, nur weil das alte Sicherheitslücken hat, die nicht mehr gestopft werden.

Eine Tragödie, diese Wegwerf-Gesellschaft. Die Industrie verdient Milliarden auf dem Buckel der Umwelt.

 

[Infostudent]

Da kann ich dir wirklich nur zustimmen. Ich habe auch immernoch Android 2.2 drauf... Gerade bei den etwas billigeren Geräten herscht echte Wegwerfmoral und wenn ich hier mal lese wieviele Leute Handys/Laptops bestellen, kurz testen und dann zurückschicken. Ich könnte kotzen.

Bei den Updates ist aber nicht Google schuld, sondern die anderen Hersteller. Denn die müssen ja unbedingt auf die Android-Oberfläche noch weitere Sachen wie TouchWiz draufmachen...

 

[matze91]

Und genau deshalb gibt es ab Ice Cream Sandwich die 18 Monate Update Garantie...

Zwar schade für die bisherigen Geräte, aber wenigstens hat Google etwas gemacht.
Und am Ende gibt es ja auch noch Custom Roms

 

[segelfreund]

Hier gibt es auch was zu dem Thema

https://www.android-hilfe.de/showthread.php?t=106733


Sent from my HTC Desire HD using Tapatalk

 

[oj.69]

Und wer auf Datenschutz steht,der ist bei Android eh falsch..

Nicht nur bei Android . Wer auf Datenschutz steht, der sollte kein Smartphone etc. verwenden. Wobei meine Meinung ist, dass ich lieber bei Google als bei Apple bin. Google hat - ähnlich wie Microsoft - viele Jahre lernen müssen, dass man eben mit den Kundendaten nicht alles machen darf. Apple scheint da meiner Meinung nach noch sehr viel lernen zu müssen . Anyway: wer ein Smartphone nutzt, muss wissen, auf was er sich einlässt .

Meine 5cents hierzu ...

Grüße

oj.69

 

[dreif44]

Hi zusammen,

bin ich eigentlich der Einzige, der dieses Thema aus der Datenschutz-Sicht sieht?

Dadurch, dass ich als Besitzer keinen root-Zugang auf das Betriebssystem meines Smartphones habe, sehe ich ganz eindeutig zwei in Deutschland gültige Grundrechte verletzt

1. Grundrecht auf informationelle Selbstbestimmung
2. Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Denn ohne root-Zugang habe ich keine Kontrolle darüber, wann welche App auf welche (persönliche) Daten zugreifen kann und wann nicht. Insbesondere natürlich auch, wann diese solche Daten raus ins Internet übertragen dürfen und wann nicht. Von der Möglichkeit, zeitnahe Updates des Betriebssystems aufspielen zu können ganz abgesehen.

Man stelle sich zum Vergleich vor, Dell/Apple würde seine Windows-PC/Macs verkaufen, ohne dem Käufer die Möglichkeit zu geben, administrativen Zugang erlangen zu können. Wie wahnwitzig wäre das denn?

Dass sich 99% der Smartphone-Benutzer (egal ob nun iOS, Android, Windows Phone oder Symbian) über fehlende root-Rechte wenig bis gar nicht aufregen ist zwar bedauerlich, macht es jedoch nicht weniger unrechtmäßig.

Insofern ist dieser Schritt von HTC schon alleine aus rechtlicher Sicht überfällig. Und dazu gehört dann natürlich auch die Freischaltung bereits verkaufter (und gelockter) Smartphones. Wie das HTC dann letztlich organisatorisch macht, steht natürlich auf einem anderen Blatt.

Gruss

dreif44

 

[Thyrion]

Denn ohne root-Zugang habe ich keine Kontrolle darüber, wann welche App auf welche (persönliche) Daten zugreifen kann und wann nicht.

Zunächst einmal, stimmst du dem Zugriff auf die Daten der bei Installation der App zu. Und, selbst mit Root-Rechten weißt du nicht, was die App damit macht. Das gilt übrigens auch für jede Anwendung auf deinem Desktop-PC - wo du ja bei Installation nicht mal annähernd weißt, was die Anwendung nun alles für Rechte braucht.

Von der Möglichkeit, zeitnahe Updates des Betriebssystems aufspielen zu können ganz abgesehen.

Definiere "zeitnah" und: Selbst mit Root-Rechten bekommst du die Updates nicht unbedingt schneller - und wenn du richtig paranoid bist, ja nichtmal mehr aus einer offiziellen Quelle, da immer Anpassungen an dein Gerät gemacht werden müssen. Von wem? Nun die Hersteller lassen sich (bisher) Zeit damit - also die "unsichere" Community.

Man stelle sich zum Vergleich vor, Dell/Apple würde seine Windows-PC/Macs verkaufen, ohne dem Käufer die Möglichkeit zu geben, administrativen Zugang erlangen zu können. Wie wahnwitzig wäre das denn?

Ganz ehrlich? So verkehrt fände ich das bei bestimmt 80% der Nutzer gar nicht.

 

[dreif44]

Zunächst einmal, stimmst du dem Zugriff auf die Daten der bei Installation der App zu.

Und die Unzahl an vorinstallierten Apps, die ich mangels root-Rechten nicht deinstallieren kann/darf? Bei nachinstallierten Apps, stimm ich Dir natürlich zu.

Und, selbst mit Root-Rechten weißt du nicht, was die App damit macht.

Dafür gibt dann die entsprechenden Apps dafür. Ich denk da bspw. an Firewalls à la Droidwall.

Das gilt übrigens auch für jede Anwendung auf deinem Desktop-PC - wo du ja bei Installation nicht mal annähernd weißt, was die Anwendung nun alles für Rechte braucht.

Was den IMHO wesentlichen Punkt angeht (Übertragungen ins Internet), so kann ich auf dem Desktop-PC ebenfalls mit Firewalls arbeiten. Und wenn ich es genau wissen möchte, kann ich ja Opensource Software einsetzen.

Definiere "zeitnah" und: Selbst mit Root-Rechten bekommst du die Updates nicht unbedingt schneller ...

Ok, als Android-Neuling hab ich hierzu noch keine Erfahrungen sammeln können. Daher glaub ich Dir. Ich weiß bspw. nur, dass Android aktuell bei 3.1 ist (Mai 2011), HTC für mein Incredible S bis jetzt jedoch nur 2.3.3 bereitstellt und somit ca 3 Monate hinterher hinkt.

Ganz ehrlich? So verkehrt fände ich das bei bestimmt 80% der Nutzer gar nicht.

Naja, wie bei Desktop-PCs, so gilt auch hier: Die tägliche Arbeit macht man nicht mit dem root-Benutzer, sondern mit eingeschränkten Rechten. Es geht ja letztlich auch darum, dem Benutzer die Möglichkeit zu geben, root-Rechte erlangen zu können und nicht darum, dass jeder Benutzer mit root-Rechten arbeiten muss.

Gruss

dreif44

 

[Thyrion]

Dafür gibt dann die entsprechenden Apps dafür. Ich denk da bspw. an Firewalls à la Droidwall.

Der Effektivität einer Software-Firewall auf einem produktiven Gerät ist mehr als fraglich - schließlich kann man sie auch (leicht) umgehen.

Was den IMHO wesentlichen Punkt angeht (Übertragungen ins Internet), so kann ich auf dem Desktop-PC ebenfalls mit Firewalls arbeiten. Und wenn ich es genau wissen möchte, kann ich ja Opensource Software einsetzen.

Wenn du deine Produktivumgebung nicht über getrennte Systeme absicherst, gilt das oben gesagte.

Ok, als Android-Neuling hab ich hierzu noch keine Erfahrungen sammeln können. Daher glaub ich Dir. Ich weiß bspw. nur, dass Android aktuell bei 3.1 ist (Mai 2011), HTC für mein Incredible S bis jetzt jedoch nur 2.3.3 bereitstellt und somit ca 3 Monate hinterher hinkt.

"Nur" 2.3.3 - das ist gerade mal eine Minor-Versionsnummer hinter der aktuellen
Version für Android-Smartphones (= 2.3.4). Und da bist du noch richtig aktuell. Die meisten Geräte warten noch auf ihre Updates und sind noch bei 2.1 oder 2.2 - von den ganz alten Geräte (z.B. Samsung Galaxy I7500 - offiziell bei Android 1.6 stecken geblieben) mal ganz zu schweigen.

Android 3.x ist ein reines Tablet-Android und wird so nie auf Smartphones portiert.

EDIT: Aber das führt jetzt teilweise etwas am Thema vorbei

 

[dreif44]

Der Effektivität einer Software-Firewall auf einem produktiven Gerät ist mehr als fraglich - schließlich kann man sie auch (leicht) umgehen.

Wenn du deine Produktivumgebung nicht über getrennte Systeme absicherst, gilt das oben gesagte.

Droidwall basiert anscheinend auf iptables, das ich als sehr effektiv kennengelernt habe. Und lieber einen Paketfilter als ungeschützten Verkehr

 

[Thyrion]

Frage dich einfach nur, was eine App daran hindert (genauso wie Droidwall selber), die entsprechende Einträge zu machen. Die SU-Abfrage? Aber nur wenn die App nett ist und keinen Exploit nutzt, um sich die Rechte zu verschaffen.

IPTables ist effektiv, aber nur, wenn Firewall und zu betreibendes System auf getrennten Systemen laufen.

 

[Lion13]

Guter Vorschlag, Herr Kollege!
Ich habe die Beiträge einmal hier hinein geschoben - das dürfte die Thematik besser treffen.

----------------

Der Vergleich mit Windows-Systemen hinkt IMHO auch ein wenig; ein Administrator unter Windows kann sich zwar sehr viele Rechte verschaffen (er besitzt sie nicht von vornherein), aber er kann damit nur das, was Microsoft dafür vorgesehen hat; es gibt durchaus Bereiche und Einstellungen im OS, die auch von einem Admin nicht verändert werden können.

 

[ramdroid]

Frage dich einfach nur, was eine App daran hindert (genauso wie Droidwall selber), die entsprechende Einträge zu machen. Die SU-Abfrage? Aber nur wenn die App nett ist und keinen Exploit nutzt, um sich die Rechte zu verschaffen.

IPTables ist effektiv, aber nur, wenn Firewall und zu betreibendes System auf getrennten Systemen laufen.

Ich denke dazu bräuchte man zusätzlich sowas wie fanotify oder dazuko um den entsprechenden Dateizugriff zu blockieren. Wie würde die Sache dann deiner Meinung nach ausschauen?

Da fanotify seit 2.6.38 im Linux Kernel mit dabei ist, bin ich mal gespannt ob es auch in der nächsten Android Version verfügbar sein wird (ice cream?)

 

[Thyrion]

Mit fanotify und dazuko bin ich grad etwas überfragt (hab eben nur oberflächlich dazu recherchiert) - klingt erstmal gut, solange sich die Schadsoftware nicht als authorisierende Stelle einklinken kann.

Einen ähnlichen Ansatz hat wohl auch Whiserpcore.