heartbleed-Lücke in SSL - der GAU ist da

  • 125 Antworten
  • Letztes Antwortdatum
Major_Tom

Major_Tom

Erfahrenes Mitglied
94
Moinsen,

da ja nicht wenige Huawei-devices mit Android 4.1.1 laufen ( z.B. auch mein Y300 ) sollte sich jeder Besitzer schlau machen, ob sein Gerät mit Android 4.1.1 von dem sogenannten "SSL-GAU" betroffen ist.

https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector

Besitzer eines Y300 können sich die Mühe sparen, es ist betroffen.

Watt nu, liebe Huawei Deutschland?

Major Tom
 
Hallo liebe Forumsteilnehmer,

entweder bin ich blind, blöd oder beides. Jedenfalls habe ich noch keinen Thread zur heartbleed-Lücke in Android entdeckt.

Angesichts der Wichtigkeit und der schwere des dadurch entstehenden Sicherheitsrisikos verblüfft mich das.

In a nutshell: Betroffen sind alle devices mit Android 4.1.1., bei einem Verbreitungsgrad von 34% aller zurzeit betriebenen Geräte also reichlich.

Wer sich vergewissern möchte ob sein Gerät betroffen ist, möge folgende App benutzen:
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector

Was gut wäre: Wenn wir hier mit vereinten Kräften genug Druck auf die Hersteller aufbauen könnten dass jene ASAP ein update oder einen workaround liefern.

Ich weiss... Die Hoffnung stirbt bekanntlich zuletzt :sad:

Major Tom
 
  • Danke
Reaktionen: AndroidPSY und Iconiatablette
Ich dachte das betrifft nur die Server und nicht die Clients?

cu
 
Hallo rihntrha,

bedauerlicherweise ist auch die client-Seite betroffen.

Siehe auch hier: OpenSSL: Wichtige Fragen und Antworten zu Heartbleed - Golem.de

Passendes Angriffsszenario dazu ( es gibt weitere... ):
Du bezahlst mit Deinem Handy oder Tablet etwas per paypal. Danach surfst Du auf eine "böse" Seite, oder eine, die einen "bösen" Werbebanner verlinkt. Die hat dann die Möglichkeit z.B. Deine paypal-Anmeldedaten auszulesen :scared:

Major Tom
 
Ungünstig :-(

OK, PayPal dürfte wegen 2-Faktor sicher sein... hoffentlich.

Tja, Handys die bereits am Markt sind bekommen bestimmt kein Update :-( Die anderen Lücken haben die Hersteller ja auch nicht interessiert.

Und root dürfte zum fixen nicht helfen, man würde ja die gefixte lib mit der selben abi benötigen um sie austauschen zu können.
Keine Ahnung wie oft hier Änderungen vorkommen, ist aber nicht so trivial libs zu tauschen. Es gibt oft seltsame Seiteneffekte die evtl. nicht gleich auffallen wenn da was nicht passt.

cu
 
Zuletzt bearbeitet:
Hallo Major Tom,

die Frage an Huawei ist berechtigt, denn ohne Update vom Hersteller wird die Lücke wohl kaum geschlossen werden können. Vermutlich bleibt nur ein Update auf ein Custom ROM als Ausweg oder das Ding in die Tonne zu treten.

Bislang scheint die Schwachstelle nur ausgenutzt zu werden um einen "erweiterten" Zugriff auf Daten im Speicher eines Servers zu erlangen. Da die Sicherheitslücke in der entsprechenden Library aber auf Seiten des Clients, hier Telefon, Grundlage für ssl gesicherte Verbindungen aller möglichen Applikationen darstellen dürfte ist folgendes imho gar nicht so unrealistisch:

Aus einer ssl Verbindung könnten sich noch Kontoinformationen im Speicher des Telefons befinden, z.B. Anmeldedaten zu den Google Services. Wenn der Anwender nun Kontakt zu einem böswilligen Server herstellt, z.B. durch aufrufen einer URL oder durch eine entsprechende App könnte dieser einen Heartbeat-Payload an das Telefon schicken und als Antwort die Anmeldedaten bekommen. Und in 64K-1 Byte Daten können leider eine Menge "nützlicher" Informationen stecken :ohmy:

Das ganze ist ein Super-GAU, aber Otto-Normaluser hat ja eh noch nicht verstanden was das "Schlosssymbol beim Online Banking genau bedeutet", und warum erst dadurch jetzt jemand anderes seine Logindaten haben könnte. Nicht einmal die Massenmedien können das "kindgerecht" erklären.

Stefan
 
Wie erkenne ich ob bei mir auch so was ist. Habe zwar das G700 bin aber gerade bei Google+ darüber gestoßen.
 
Zuletzt bearbeitet von einem Moderator:
Also nur 4.1.1nicht 4.2.1 richtig???

Der ursprüngliche Beitrag von 21:16 Uhr wurde um 21:52 Uhr ergänzt:

Beim g510 meiner Frau ist der Fehler auch ganz toll .
 
Ich will es mal auf die harte Tour versuchen, und bei meinem 4.1.1 die libssl durch die von 4.1.2 ersetzen, welches ja nicht betroffen ist. Beide, das original und eine die ich aus einem CM10 extrahiert habe, haben die gleiche Verion 1.0.1c und sind mit dem gleichen GCC kompiliert. Ich werde berichten, wie das dann aussieht.

Falls einer einen Link zum download den heartbleeddetector hat, das würde mir helfen da ich ohne google arbeite, und die apk sonst nicht ausserhalb vom Playstore finde.
 
Zuletzt bearbeitet:
@ Simon G. Richtig. Es ist definitiv nur Android 4.1.1 betroffen. Schlimm genug :crying:

@ rudolf Ich habe gerade mal auf der website von https://www.lookout.com/
gestöbert, habe die App dort aber nicht zum download gefunden. Sorry dass Ich Dir da nicht weiterhelfen kann :unsure:

Major Tom
 
  • Danke
Reaktionen: rudolf
@ stefanott : D´Anke, Du hast geschrieben was ich schreiben wollte wenn ich nicht so faul wäre um so viel zu tippern :biggrin:

@ rudolf : Na, ich finde es schon wichtig den Druck auf die Hersteller zu erhöhen. Wenn hier drölfzehn Leute schreiben "Huawei ist ne lamer-Firma, weil die den Bug net fixen" wird sich mittelfristig bei Huawei was bewegen.
Die lesen hier ganz sicher mit, und negative Publicity mögen die auch net... :biggrin:

Major Tom

P.S. @ Lars-Christian W. @ huaweidevices.de: Tu watt! :D
 
Major_Tom schrieb:
Du bezahlst mit Deinem Handy oder Tablet etwas per paypal. Danach surfst Du auf eine "böse" Seite, oder eine, die einen "bösen" Werbebanner verlinkt. Die hat dann die Möglichkeit z.B. Deine paypal-Anmeldedaten auszulesen :scared:
Major Tom

Hier hilft Firefox, der benutzt die libnss und nicht openssl, das surfen damit ist nicht betroffen, auch wenn Du das 4.1.1 mit dem Fehler drauf hast. Schau dann aber auch deine mails per webinterface mit Firefox nach, denn die mailprogramme werden wohl alle openssl benutzen.

k9 benutzt openssl, und ich vermute dass wohl alle anderen mailprogramme das auch tun. Firefox ist deshalb eine ausnahme, weil es sehr alt ist und noch alte netscape libs benutzt.

Wer auch die Spielchen mit der libssl probieren möchte, der sollte am besten eine TWRP recovery installieren. Ohne libssl startet mein Telefon nicht. Ich hatte zum Glück die libssl nur umbenannt und nicht gelöscht. So konnte ich mit dem Filemanager im TWRP sie wieder richtig benennen, damit das Telefon wieder bootet.

Update:
Ich hab jetzt die libssl von 4.1.2 drauf und mit dem android browser auch eine Seite mit https bekommen. Das heist aber noch nicht viel, ausser das Hoffnung besteht :)
 
Zuletzt bearbeitet:
Bei 4.2.1 sagt er mir die App das der Fehler dort auch ist aber nicht angewendet werden kann Everything is OK.
 
Die App von Lookout bringt eigentlich nichts. Da kriegen alle je nach System dieselbe Meldung. Und die ist ja so allgemein, dass es keinem hilft.

Es wird ja beispielsweise nicht untersucht, ob eine der installierten Apps ein eigenes OpenSSL mitbringt. Wie auch...

Sinnvoller wäre es, in der Zwischenzeit einfach mal die Passwörter zu wechseln:
The Heartbleed Hit List: The Passwords You Need to Change Right Now

Wobei man keine Ahnung hat, wie viele kleinere Unternehmen betroffen sind, bei denen man evtl. registriert ist.
 
Naja die APP zeigt zumindest an das der Bug da ist und auch durchlässig ist.Bei meinem ist er auch aber es ist sicher.Von daher schon sinnvoll
 
Simon G. schrieb:
Naja die APP zeigt zumindest an das der Bug da ist und auch durchlässig ist.
Überflüssig.

Die App zeigt jedem (außer mit 4.1) an, dass
- die installierte OpenSSL-Version zu den betroffenen Versionen gehört (in der Regel 1.0.1e)
- damit nix gemacht wurde (siehe aber auch oben verlinkten Golem-Artikel zu den betroffenen Android-Versionen)

Heißt: Auch ohne die App ist klar, was da steht. Kein Mehrwert.

Unklar aber ist wie gesagt:
Es wird ja beispielsweise nicht untersucht, ob eine der installierten Apps ein eigenes OpenSSL mitbringt.
Im schlimmsten Fall würde dich die App von Lookout - wie üblich - nur in falscher Sicherheit wiegen.
 
Ich fürchte, Du hast das nicht ganz verstanden. Mehrere Android Versonen haben das Problrm in der openssl. Aber nur bei 4.1.1 wurde dieses Problem auch "freigeschaltet", bei den anderen ist es vorhanden, aber abgeschaltet. Es ist schon richtig, das die App beides anzeigt, sowol ob es vorhanden ist als auch ob es aktiviert ist.

Für den normalen benutzer steht am Ende entweder "OK" oder nicht, für den interressierten halt mehr.

Und woher willst Du wissen, was das programm bei jedem anzeigt? Bist Du der lieb Gott? Bei mir (4.1.1 und 4.1.2) zeigt es 1.0.1.c an. Du hast es also nicht an einem betroffenen Android benutzt!
Und dann steht nicht das "damit nix gemacht wurde"sondern dass es nicht aktiviert ist.
Das was Du schreibst ist für die betroffenen nicht hilfreich.
 
rudolf schrieb:
Bei mir (4.1.1 und 4.1.2) zeigt es 1.0.1.c an.
Eben, ich schrieb ja "außer mit 4.1".

Und was nicht hilfreich ist, ist die genannte App. Was bringt sie denn?

Nochmal aus dem Link von oben:
Die einzige Version von Android, die damit betroffen ist, ist laut Googles Sicherheitsteam die Version 4.1.1
Das heißt, du musst lediglich deine Android-Version kennen, um zu wissen, ob dein Android betroffen ist.

Aber die eigentliche Ungewissheit liegt woanders:

Unabhängig davon ist es natürlich möglich, dass einzelne Apps OpenSSL nutzen und selbst den verwundbaren Code mitliefern. Das kann nur im Einzelnen für jede App überprüft werden.
Möglicherweise habe ich also eine App, die OpenSSL in einer mir unbekannten Version mitbringt - ich weiß es nicht. Und die App von Lookout hilft mir nicht dabei.

Oder bist du tatsächlich der Ansicht, die App von Lookout könne alle installierten Apps auf deinem Gerät untersuchen ..? ;)

-----

Mein Tipp bleibt: Passwörter ändern.
 

Ähnliche Themen

I
Antworten
2
Aufrufe
1.221
icke68746
I
J
Antworten
0
Aufrufe
585
Juleru
J
Zurück
Oben Unten