Schwere Sicherheitslücke in 2.1/2.2

  • 92 Antworten
  • Letztes Antwortdatum
Ich befürchte bei Softwarefehlern ist, solange (noch) kein echter Schaden enstanden ist, erstmal Niemand in der Pflicht zur Nachbesserung. Vor Gericht, wenn dir jemand damit dein Konto plündert, sähe es vll. anders aus. Bis dahin...doof, aber is so. Google wird das flicken, aber wohl vorrangig um der negativen Berichterstattung zu entgehen.
 
na wenn man sich aber anschaut dass das problem ja zumindest bei usern schon länger bekannt ist... (siehe verlinkter thread hier u.a.)... und es wohl auch mit 2.3.4 nicht 100% gefixed ist (bei Picasa soll es ja z.B. noch bestehen angeblich)... naja.

ich persönlich(!) finde ja auch, das als "Datenleck" zu bezeichnen ist in etwa wie sich über Einbrüche zu beklagen wenn man die ganze Zeit seine Haustür sperrangelweit offen stehen lässt.

ich gehe aber generell mit meinen daten und geräten viel vorsichtiger um als der durchschnitts-user. meine freundin z.b. hat auf diese meldung (war auf SpOn gestern z.B.) schon wesentlich panischer reagiert bis ich ihr das erklärt hab und was sie dagegen tun kann.

gefahr besteht also schon für die "0815er".
 
fant0mas schrieb:
gefahr besteht also schon für die "0815er"

Das stimmt, die stellen aber die Masse! Von daher finde ich das schon übel, zumal es wirklich ein haarsträubend banaler Bug ist die Tokens unverschlüsselt zu senden ( allein beim implementieren muß das schon weh tun!).

In 2.3.4 gefixt heißt ja wohl in den Apps von 2.3.4 gefixt. Dann muß es diese Apps doch aber auch für frühere Systeme geben - oder ist da eine Android API mit im Spiel?
 
Aber im Endeffekt betrifft es nicht nur Android sondern alle Programme die über ein offenes WLAN unverschlüsselt Daten austauschen, also auch jeder Laptop. Bei Facebook und Twitter ist das auch möglich (Sidejacking nur mal als Begriff). Mit dem Addon Firesheep für Firefox ist das relativ einfach zu sehen (ging auch ziemlich durch die Presse).
 
Camu: das ist selbstverständlich, aber derzeit haben wir keine Möglichkeit, die Verschlüsselung anzumachen.

Dass das bei Computern auch so ist, ist klar. Das Problem ist analog zu dem hier auch nicht nur in offenen WLAN-Netzwerken, sondern überall, wo der Schlüssel gleich ist (da ist es zwar ungleich schwieriger, aber immer noch machbar, mitzuhören). Aber da kann man wenigstens auf die meisten Sachen verschlüsselt zugreifen. Alle meine Chats laufen mit OTR, und IRC mit SSL.
 
Aber das Problem ist doch nicht neu...

Aber nebenbei, kann ich die automatische Verbindung mit offenen Wlans verhindern?
Weil selbst Zuhause hat ein Nachbar ein offenes Wlan mit stärkerem Signal. Somit wenn ich am Androiden Wlan einschalte, verbindet er sich automatisch damit.

Somit muss ich mich von diesem Netzwerk immer erst trennen und dann mit meinem verbinden :-(
 
quatschkopf schrieb:
wenn die lücke wirklich so gravierend ist, ist dann der handyhersteller nicht verpflichtet diese zu schließen? also sozusagen z.b. eine neue android version anzubieten die die lücke schliesst? oder kann man auch kleinere patches bringen?

Tja, da haben wir es wieder, ein Nachteil von Android und zig angepassten Versionen der Handyhersteller. Da wird wohl garnichts mehr kommen, ist irgendwie shcon eine Frechheit... :angry:
 
hi

leute seht es mal so , jetzt wissen wir wenigstens warum google die 2.3.3 erstmal gestoppt hat . gehe stark davon aus das hoffentlich die 2.3.4 "fehlerbereinigt" ausgeliefert wird !?:winki:
außerdem wer ein offenes wlan nutzt und sicherheitsrelevante dinge ausführt , dem ist nicht zu helfen !!


cu mobilkom
:D
 
Bezüglich Gmail & Wlan

Eigentlich gibt es doch auch updates dazu über den Market, also sollte dies doch auch lösbar sein, ohne Hub auf 2.3.4 oder nicht?

Also sollte das doch auch seitens Google machbar sein.

Einzige Problem wäre Sense und deren Ersatzapps :D
 
Es ist wohl so, das die Google-Service API betroffen ist und die ist Bestandteil des OS wie es aussieht. Habe gerade diesen Link hier bekommen:

Catching authTokens in the wild-Universitt Ulm

Es gibt also Lösungen indem man die Apps austauscht, so dass sie https nutzen statt http, indem man die Tokenlaufzeit auf z.B. 1h setzt...

Grundsätzlich muß aber die Google-Service API ausgetauscht werden, damit ein Fallback zu http nicht mehr möglich ist. Allein letzteres wird dann wohl mit neuem OS gehen.

Es ist also ein bißchen von beidem: ein behebbares Problem und eine peinliche Nummer für Google.
 
Generell muss Google seine Updates überdenken und ein einfaches Schließen von Sicherheitslücken ermöglichen. Unabhängig von der unterstützen Android Version und der Oberfläche des Herstellers.
Der normale Verbraucher liest nun mal keine Foren oder will sich Gedanken über sein eigenes Verhalten machen. Das Gerät sollte einfach sicher funktionieren und das möglichst ohne komplizierte Einstellungen und Updates über PC.
 
Resident schrieb:
Unabhängig von der unterstützen Android Version und der Oberfläche des Herstellers.

Da stimme ich Dir zu, aber das wird vermutlich auf ein Redesign mit sauberer Trennung hinauslaufen. Jedenfalls klingt das alles so, als sei diese Trennung nicht so wirklich gegeben. Das alles erinnert an das Lehrgeld das Microsoft und auch Apple mal zahlen mußte. Offenbar ist jetzt Google dran :)
 
Soweit man den Versprechungen von Rubin trauen kann, soll ja in den nächsten Versionen eine Trennung vorgesehen sein. Oder zumindest ein Fortschritt in diese Richtung.

Aber peinlich ist dieses Problem alle mal.
 
What Android users can do:
  • Update to Android 2.3.4. Update your phone to the current Android version as soon as possible. However, depending on your phone vendor you may have to wait weeks/months before an update is available for your phone. Hopefully this will change in the future.
  • Switch off automatic synchronization in the settings menu when connecting with open Wifi networks.
  • Let your device forget an open network you previously connected to, to prevent automatic reconnection (long press network name and select forget)
  • The best protection at the moment is to avoid open Wifi networks at all when using affected apps.
(Quelle: Uni Ulm)

Der erste Punkt mit dem empfohlenen Update auf Android 2.3.4 liegt natürlich nicht im Ermessen der User... Alles andere läßt sich denke ich mit relativ wenig Aufwand realisieren.
 
ich verstehe trotzdem noch nicht, warum das nur offene WLANs betreffen soll. Es ist doch wie beim Computer, man kann überall mithören, auch wenn es ungemein schwieriger ist, wenn das Netzwerk nicht offen ist.

Und, soweit ich weiß, beinhaltet der UMTS-Standard zwar Verschlüsselung, aber das wird oft nicht umgesetzt, da ist man also auch nicht besonders sicher unterwegs. Aber beim letzten Punkt lass ich mich gerne eines Besseren belehren.
 
Sin-H schrieb:
ich verstehe trotzdem noch nicht, warum das nur offene WLANs betreffen soll. Es ist doch wie beim Computer, man kann überall mithören, auch wenn es ungemein schwieriger ist, wenn das Netzwerk nicht offen ist.

Und, soweit ich weiß, beinhaltet der UMTS-Standard zwar Verschlüsselung, aber das wird oft nicht umgesetzt, da ist man also auch nicht besonders sicher unterwegs. Aber beim letzten Punkt lass ich mich gerne eines Besseren belehren.

Es gibt sogenannte IMSI-Catcher die man sich so für 2000€ selbst bauen kann. Die emulieren dann einen Cell tower und können den gesamten Verkehr in der Nähe mitlauschen.
 
Sin-H schrieb:
ich verstehe trotzdem noch nicht, warum das nur offene WLANs betreffen soll. Es ist doch wie beim Computer, man kann überall mithören, auch wenn es ungemein schwieriger ist, wenn das Netzwerk nicht offen ist.

Das wird auch stimmen! Der Unterschied wird sein, dass jeder dritte DEPP versuchen kann ein WLAN zum erreichen einer Man in the Middle-Attack aufzustellen. An GSM oder UMTS-Zellen kommen nur die Provider ran. Die haben es dann aber sicher ähnlich einfach ;)
 
Ich glaube, dass ich hinter dem Mond sitze.
Nehmen wir mal an ich logge mich in ein unverschlüsseltes Netzwerk ein, wie können diese meine Daten lesen? Wo stehen diese Daten?
 
Zuletzt bearbeitet:
Du erhältst beim Anmelden eine IP in diesem Netz. Damit kann jeder der den Netzwerkverkehr mittels Sniffer mithört die Pakete mitlesen...im Klartext. Die Sniffer sind so idiotensicher gebaut, dafür muss man nicht mal Ahnung haben.
 
probier es einfach mal daheim aus mit deinem PC. Z.b. per Wireshark
 

Ähnliche Themen

ses
Antworten
1
Aufrufe
411
maik005
maik005
E
Antworten
6
Aufrufe
178
jandroid
jandroid
Jumper04
  • Jumper04
Antworten
0
Aufrufe
197
Jumper04
Jumper04
Zurück
Oben Unten