CM13/14.1: Linux Kernel will im Sekundentakt auf Internet zugreifen ...

[Heizoelkocher]

... und zwar auf verschiedenste IP-Adressen.
Die AFWall blockierts, und alles funktioniert.
Habt Ihr dieses Phenomen auch?

Schöne Grüße!

 

[Sunny]

@Heizoelkocher
Ja, ist bekannt.
Schau mal hier rein:
Kernel-Schwachstelle: Linux-Sicherheitslücke bedroht Internet-User - computerwoche.de
LG
Sunny76

 

[rudolf]

Ich sehe in deinem Link nichts was mit dem Thread zu tun hat.

 

[Sunny]

@rudolf
Zitat aus dem Artikel:
"Da aber zahlreiche Linux-Webserver, Android-Devices und Desktop-Distributionen nach wie vor die älteren Versionen verwenden, stellt die Schwachstelle eine ernsthafte Bedrohung für sehr viele Internet-Nutzer dar.

 

[Heizoelkocher]

Wenn das neueste Android 7.1 bzw. 14.1 die im Artikel beschriebene Schwachstelle haben sollte, wäre es (von außen) angreifbar.

Warum aber der Linux-Kernal aber im Sekundetakt auf's Netz zugreifen will, lese ich da nicht heraus. Dann müsste im neuesten CM14.1 ja schon ein Botnet-Client eingebaut sein . . .

Zugriffsziele sind laut Protokoll:
224.0.0.22:0
79.199.204.51:5006 // Telekom
172.16.72.1:60657 // mein Router, der Port ist aber völlig unbekannt
172.16.72.1:58135 // mein Router, der Port ist aber völlig unbekannt
5.148.175.198:5222 // Nine Internet Solutions AG ?????
172.217.22.14:80 // irgend etwas in Californien ????
172.217.22.4:443
158.85.58.109:443 // District Of Columbia, Washington
194.25.134.51:993 // vermutlich Telekom

Nachtrag: es handelt sich um ein Tablet Z mit CM13 und ein G3 mit CM14.1, beide die gleichen Protokolleinträge.

 

[Sunny]

@Heizoelkocher
Welches Handy hast du?
Ich würde eventuell mal versuchen einen anderen Kernel zu flashen.
Normal ist das Verhalten deines Kernels meines Wissens nach jedenfalls nicht

 

[Heizoelkocher]

Es sind zwei völlig unterschiedliche Geräte: ein Tablet Z mit CM13 und ein LG G3 mit CM14.1, beide die gleichen Protokolleinträge.
Das G3 vurde erst kürzlich wieder völlig platt gemacht und mit dem CM14.1 geflasht.

Es muss also am mit dem CynogenMod gelieferten Kernal liegen . . .

 

[Sunny]

@Heizoelkocher
Ja, das denke ich auch. Versuche es doch bitte mal mit einer AOSP Rom.
Dann wäre es interessant zu sehen ob das Problem dort auch auftritt. Für das G3 gibt es glaub was von Tesla Ground Zero Roms. Die basiert auf AOSP

Post Data
@Heizoelkocher
Probier es mal hier mit:
Hey guys. Sunday Android N 7.1 is up for the LG G3! Enjoy! flashing…

 

[Sunny]

@Heizoelkocher
Kannst du mir einen system Log raus lassen bevor du ein anderes System installierst?
Mit dem aLogcat (free) - logcat – Android-Apps auf Google Play zb.

Und wenn es geht eine komplette Liste der IP Adressen bitte.
spookcity138 (senior developer xda)
Wird sich das dann auch mal anschauen, er ist auch der Meinung das es NICHT normal ist und wird uns helfen der Sache auf den Grund zu gehen.
LG
Sunny76

 

[rudolf]

@Sunny76
Vielleicht hilft dir dieser Artikel ein wenig zu verstehen worum es bei der RFC-5961 Lücke geht, nämlich um das Kapern von Verbindungen.
Sicherheitsforscher kapern HTTP-Verbindungen von Linux

 

[Heizoelkocher]

So, hier habe ich noch einmal ein paar Daten zusammen gestellt.

Im LogCat kann ich wenig erkennen. Im Gegenteil: da stehen Dinge drin, die auf meinem Gerät nicht installiert sind (z.B. Windfinder Pro). Ich schicke es Dir , Sunny76, per PN zu.

--------

So sehen die ständigen "Blockiert"-Meldungen im Betrieb aus:

Protokollübersicht:

Protokoll für Kernel, Detailansicht:

Protokoll für Kernel, Detailansicht, "alte Ansicht" (lt. Einstellungen AFWall):

Auf dem Tablet Z mit CM13 sehen alles sehr ähnlich aus:

 

[Sunny]

@Heizoelkocher
Ich habe wie gesagt mit den Entwicklern dieser Rom bzw des Kernels Kontakt.
Wenn es dir recht ist werde ich dich später in die Diskussion auf XDA mit einbeziehen.
Bin gerade in der Schweiz und hab Roaming und schlechtes Netz noch da zu
LG
Sunny76

 

[Heizoelkocher]

Ja, danke! Wäre wirklich interessant zu hören, was man dazu sagt.
http://forum.xda-developers.com/member.php?u=935735
LG

 

[Cynob]

Ja was sagen die verantwortlichen Entwickler dazu?
Es muss ja nicht der Kernel direkt sein - es kann ja auch ein Programm den Kernel triggern.
Die RFC-5961 Lücke ist mMn unwarscheinlich - habs jetzt nur überflogen aber anscheinend muss der Angreifer im gleichen Netzwerk sein was bei nem Smartphone recht unpraktisch ist.
Bevor man jetzt anfängt alles auseinander zu nehmen um zu gucken was da wie falsch läuft würd mich erstmal das Statement vom Erbauer interessieren

 

[Sunny]

@Cynob
[G800F/M/Y][ROM][7.1][NDE63P] CyanogenMod 14.1 for G800F/M/Y [Test-Build 07/11/2016]
Ab Post 314 glaube ich. LG
Sunny76

 

[Cynob]

da weiß der sich anscheinend selbst nicht zu helfen...
Ich würd jetzt einfach mal das installieren und einrichten Packet Capture – Android-Apps auf Google Play
Dann mal aus Spass die Firewall deaktivieren und mit dem Tool den traffic mitschneiden ( muss ja nur ein paar Sekunden sein so oft wie die Anfragen gestellt werden) Vielleicht kann man aus dem Wlan dumb Rückschlüsse auf die requests bekommen.

 

[Sunny]

@Cynob
Hennymcc ist wohl ziemlich beschäftigt im Moment und auch nicht wirklich interessiert.
Spookcity138 hat den LogCat aber eben auch kaum Zeit,wenn auch interessiert.
@Heizoelkocher
Könntest du das von Cynob vorgeschlagene mal installieren und schauen was passiert?

 

[vetzki]

0 ist ja der root user, evtl ists gar nicth der kernel sondern root apps und afwall zeigt es nur falsch an

 

[Sunny]

@vetzki
Eben das vermuten die Entwickler auch.

 

[Cynob]

Das wird auch so sein...
Was hätte der Kernel davon?