G
Gelangweilter
Ehrenmitglied
- 1.433
Manche Nachrichtensender sind so verpeilt. Gerade auf "n-tv". Google hat das Leck geschlossen. Wir (n-tv) empfehlen, dass jetzt jeder Handybesitzer ein Update auf die neue Version 2.3.4 macht... <hahaha>
Schwere Sicherheitslücke in 2.1/2.2
- 92 Antworten
- Letztes Antwortdatum
ramdroid
Stamm-User
- 89
Gelangweilter schrieb:
zu geil......
Ich starte mal kurz 'Android Update'.
wegus
Erfahrenes Mitglied
- 51
Gelangweilter schrieb:
wobei - eigentlich haben die recht! Genauso sollte es eigentlich gehen!
Aaaalso HTC, wo bleibt mein OTA-Update?
G
Gelangweilter
Ehrenmitglied
- 1.433
Naja, man kann den Herstellern von Mobile dies empfehlen, ob sie es machen? Eher nicht. Der Besitzer aber schaut in die Roehre, vor allem bei Geraeten mit verschluesselten Bootloader usw. Der kann naemlich mal eben garnichts machen.
Jetzt wuerde mich mal interesieren wie lange ein Hersteller benoetigt, bei einem brandneuen Geraet und signiertem Bootloader, zB HTC mit dem Sensation, dass hat naemlich 2.3.3 und ist signiert. Nur, die haben (leider) aktuell Glueck und das Teil gibts noch garnicht. Und Samsung mit dem S2? Sicherheitsloch stopfen? ;-)
Jetzt wuerde mich mal interesieren wie lange ein Hersteller benoetigt, bei einem brandneuen Geraet und signiertem Bootloader, zB HTC mit dem Sensation, dass hat naemlich 2.3.3 und ist signiert. Nur, die haben (leider) aktuell Glueck und das Teil gibts noch garnicht. Und Samsung mit dem S2? Sicherheitsloch stopfen? ;-)
F
fabian485
Stamm-User
- 86
Erstaunlich wie das ganze Thema, obwohl es alles andere als neu ist, auf einmal hochkocht.
Es scheint den ganzen Tag schon so als ob es im Fernsehen / Radio wenig anderes gibt.
Dabei ist das Problem schon lange bekannt und Google sollte wirklich bei ihren Anwendungen (Kalender / Kontakte / Picasa / etc.) schnell nachbessern.
Nur wird es sicher selbst dann wieder ewig dauern bis der Fix bei den meisten Kunden ankommt, sofern er überhaupt kommt.
Im Grunde haben die meisten Geräte die über ein offenes WLAN ins Internet gehen egal ob Android / iPhone / Notebook ein ähnliches Problem. Leider übertragen sehr viele Programme / Webseiten Login-Daten ohne Verschlüsselung. Darüber redet aber kaum jemand.
Das einzige was in absehbarer Zeit wirklich helfen könnte wäre eine Sensibilisierung der Benutzer bei solchen Sachen.
Über eine unverschlüsselte oder nicht vertrauenswürdige Verbindung sollte man nun einmal keine sensiblen Daten übertragen.
Leider interessiert sich die Mehrzahl der User nicht für solche Sachen, Hauptsache es funktioniert irgendwie, ob die Art der Datenverbindung sicher & vertrauenswürdig ist wird nicht hinterfragt.
Es scheint den ganzen Tag schon so als ob es im Fernsehen / Radio wenig anderes gibt.
Dabei ist das Problem schon lange bekannt und Google sollte wirklich bei ihren Anwendungen (Kalender / Kontakte / Picasa / etc.) schnell nachbessern.
Nur wird es sicher selbst dann wieder ewig dauern bis der Fix bei den meisten Kunden ankommt, sofern er überhaupt kommt.
Im Grunde haben die meisten Geräte die über ein offenes WLAN ins Internet gehen egal ob Android / iPhone / Notebook ein ähnliches Problem. Leider übertragen sehr viele Programme / Webseiten Login-Daten ohne Verschlüsselung. Darüber redet aber kaum jemand.
Das einzige was in absehbarer Zeit wirklich helfen könnte wäre eine Sensibilisierung der Benutzer bei solchen Sachen.
Über eine unverschlüsselte oder nicht vertrauenswürdige Verbindung sollte man nun einmal keine sensiblen Daten übertragen.
Leider interessiert sich die Mehrzahl der User nicht für solche Sachen, Hauptsache es funktioniert irgendwie, ob die Art der Datenverbindung sicher & vertrauenswürdig ist wird nicht hinterfragt.
Lion13
Ehrenmitglied
- 5.263
So, wenn ich das richtig interpretiere, dann startet Google noch heute (global!) einen Sicherheits-Fix für die älteren OS-Versionen kleiner als Android 2.3.4 für die beiden Apps "Kontakte" und "Kalender" per OTA-Push:
(Quelle: Androidpolice)
F
farmerjohn
Erfahrenes Mitglied
- 77
Na, hoffentlich stimmt das. Wobei dann Leute wie ich mit HTC Sense immer noch in die Röhre gucken, oder? Da sind die Google Apps ja nicht drauf sondern modifizierte Programme.
Für mich persönlich halb so schlimm, da ich eh VPN nutze wenn ich in unsicherer Umgebung bin, aber insgesamt ist es schon ein ziemlicher faux-pas, dass Goggle diese Tokens unverschlüsselt überträgt.
Natürlich ist die Problematik aufgebauscht, aber so reagieren die betroffenen Firmen wenigstens.
Edit: Ich habe grad gelesen, dass die Lösung serverseitig erfolgen soll und kein Push erforderlich ist. Das wär natürlich klasse.
Für mich persönlich halb so schlimm, da ich eh VPN nutze wenn ich in unsicherer Umgebung bin, aber insgesamt ist es schon ein ziemlicher faux-pas, dass Goggle diese Tokens unverschlüsselt überträgt.
Natürlich ist die Problematik aufgebauscht, aber so reagieren die betroffenen Firmen wenigstens.
Edit: Ich habe grad gelesen, dass die Lösung serverseitig erfolgen soll und kein Push erforderlich ist. Das wär natürlich klasse.
Zuletzt bearbeitet:
crobe
Stamm-User
- 60
Wenn google diesen medialen Druck braucht, dann sollen sie ihn bekommen.fabian485 schrieb:
F
fant0mas
Dauer-User
- 136
Fix ist ja wie schon gesagt unterwegs, serverseitig und somit "no user action required".
Ich frage mich nur, ob das auch für user von custom ROMs zutrifft?
Falls (!) dieser Fix denn nämlich doch mit mini-Updates der Calendar/GMail Apps zusammenhängt, wären ja z.B. bei CM7 die Devs wieder am Zuge, die GApps Pakete neu zu schnüren
Oder ist es tatsächlich nur am Server allein möglich ?
Ich frage mich nur, ob das auch für user von custom ROMs zutrifft?
Falls (!) dieser Fix denn nämlich doch mit mini-Updates der Calendar/GMail Apps zusammenhängt, wären ja z.B. bei CM7 die Devs wieder am Zuge, die GApps Pakete neu zu schnüren
Oder ist es tatsächlich nur am Server allein möglich ?
M
matze91
Erfahrenes Mitglied
- 55
CR werden diesen Patch wahrscheinlich nicht erhalten.
CM und Co bessern sicher schnell nach.
Meiner Meinung nach habe ich auf das richtige Pferd gesetzt habe und kann anscheinend doch Google meine Daten anvertrauen.
Wir erinnern uns an Apple und Locationgate?
Wann kam da gleich nochmal eine Stellungnahme, nach 1-2 Wochen wenn ich mich recht entsinne.
Jetzt hatten wir schon 2 mal den Fall bei Google das ein Sichertsleck extrem schnell gefixt wurde bzw. zu ersteinmal drauf reagiert wurde.
Anfang des Jahres das Malware Problem und jetzt das https Problem bei den Apps (nicht Android selber...!).
Google war ehrlich und hat gesagt das sie Mist gebaut haben und das nicht erst nach 2 Wochen überlegen, wie man sich da am besten rausredet.
Die Größe des Codes ist wahrscheinlich wirklich nur Entwckilern eines CR bekannt. Wie war das noch einmal, als das CM Team für eine Device eine Funktion änderte und prompt kam es dazu, das alle anderen Devices eine Fehlfunktion erzeugen...
Bin mir nicht mehr sicher wer es gesagt hat, könnte Rubin gewesen sein:
"Wir arbeiten mir viel weniger Entwicklern an Android, als viele denken."
CM und Co bessern sicher schnell nach.
Meiner Meinung nach habe ich auf das richtige Pferd gesetzt habe und kann anscheinend doch Google meine Daten anvertrauen.
Wir erinnern uns an Apple und Locationgate?
Wann kam da gleich nochmal eine Stellungnahme, nach 1-2 Wochen wenn ich mich recht entsinne.
Jetzt hatten wir schon 2 mal den Fall bei Google das ein Sichertsleck extrem schnell gefixt wurde bzw. zu ersteinmal drauf reagiert wurde.
Anfang des Jahres das Malware Problem und jetzt das https Problem bei den Apps (nicht Android selber...!).
Google war ehrlich und hat gesagt das sie Mist gebaut haben und das nicht erst nach 2 Wochen überlegen, wie man sich da am besten rausredet.
Die Größe des Codes ist wahrscheinlich wirklich nur Entwckilern eines CR bekannt. Wie war das noch einmal, als das CM Team für eine Device eine Funktion änderte und prompt kam es dazu, das alle anderen Devices eine Fehlfunktion erzeugen...
Bin mir nicht mehr sicher wer es gesagt hat, könnte Rubin gewesen sein:
"Wir arbeiten mir viel weniger Entwicklern an Android, als viele denken."
Flauschibüsi
Ambitioniertes Mitglied
- 8
Mir fällt es schwer zu verstehen, wieso dies jetzt so extrem aufgepusht wird. Klar, es ist wirklich ein Fehler von Google die Tokens unverschlüsselt zu senden. Das kann man nicht schönreden und Google gibt dies ja auch zu (im Gegensatz zu vielen anderen Firmen die so etwas oder gar viel schlimmeres, nicht nur im IT Bereich, vertuschen).
Und auch wenn es eventuell von einigen als Ignoranz abgetan wird sehe ich es wie TheSpiritof69: Wer das Gefühl hat in einem offenen WLAN könne man tun und lassen was man will ist schlicht selber Schuld.
Ich schalte WLAN ausserhalb meiner Wohnung immer aus weil ich schlicht zu Misstrauisch bin um irgend einem anderen Netz als meinem eigenen zu vertrauen.
Dies hin oder her, der 0815 User wird dies wohl nicht tun und ist durchaus gefährdet und Google muss etwas tun. Genau so müssen aber auch alle anderen nachbessern - Unzählige Betriebssysteme/Applikationen plappern unverschlüsselt herum.
Aber das ist der Punkt wo man das ganze relativieren muss: Was der 0815 User so alles treibt ist erschreckend und da sind diese unverschlüsselten Tokens dagegen schlicht nicht so schlimm wie dargestellt. Wer im IT Bereich im Endkundenbereich arbeitet wird dies sicherlich bestätigen können. Da werden vertrauliche Daten an dubiose Internetseiten geschickt, jegliche Links angeklickt und jedem wird Social Engineering so leicht gemacht wie Nutella kaufen. Hier fehlt es den Benutzern schlicht an einem: Den gesunden Menschenverstand einschalten.
So leichtfertig wie die Leute mit dem Internet umgehen wundert es mich nicht wenn auch bei offenen WLANs die Eurozeichen in den Augen aufblitzen - "Super Sache, da spar ich mir doch die 15 Euro für eine vernünftige Datenflat". Und da habe ich, wie gesagt, schlicht kein Mitleid mit den Leuten - würden diese etwas vorsichtiger mit Internet & Co. umgehen wäre diese Tokengeschichte immernoch unschön aber kein Grund zur Panikmache. Und daher sehe ich auch keinen Grund wieso die Medien dies nun so aufbauschen. Es wäre hier viel nötiger einmal den Sicherheitsfaktor Mensch gross in die Überschriften zu setzen...
Auch wenn alles was Kabellos ist oder mit dem Internet verbunden ist irgendwo risiken hat und geknackt werden kann/irgendwann geknackt wird so sollte jeder so viel Sicherheit wie zur Zeit möglich ist walten lassen...
Und auch wenn es eventuell von einigen als Ignoranz abgetan wird sehe ich es wie TheSpiritof69: Wer das Gefühl hat in einem offenen WLAN könne man tun und lassen was man will ist schlicht selber Schuld.
Ich schalte WLAN ausserhalb meiner Wohnung immer aus weil ich schlicht zu Misstrauisch bin um irgend einem anderen Netz als meinem eigenen zu vertrauen.
Dies hin oder her, der 0815 User wird dies wohl nicht tun und ist durchaus gefährdet und Google muss etwas tun. Genau so müssen aber auch alle anderen nachbessern - Unzählige Betriebssysteme/Applikationen plappern unverschlüsselt herum.
Aber das ist der Punkt wo man das ganze relativieren muss: Was der 0815 User so alles treibt ist erschreckend und da sind diese unverschlüsselten Tokens dagegen schlicht nicht so schlimm wie dargestellt. Wer im IT Bereich im Endkundenbereich arbeitet wird dies sicherlich bestätigen können. Da werden vertrauliche Daten an dubiose Internetseiten geschickt, jegliche Links angeklickt und jedem wird Social Engineering so leicht gemacht wie Nutella kaufen. Hier fehlt es den Benutzern schlicht an einem: Den gesunden Menschenverstand einschalten.
So leichtfertig wie die Leute mit dem Internet umgehen wundert es mich nicht wenn auch bei offenen WLANs die Eurozeichen in den Augen aufblitzen - "Super Sache, da spar ich mir doch die 15 Euro für eine vernünftige Datenflat". Und da habe ich, wie gesagt, schlicht kein Mitleid mit den Leuten - würden diese etwas vorsichtiger mit Internet & Co. umgehen wäre diese Tokengeschichte immernoch unschön aber kein Grund zur Panikmache. Und daher sehe ich auch keinen Grund wieso die Medien dies nun so aufbauschen. Es wäre hier viel nötiger einmal den Sicherheitsfaktor Mensch gross in die Überschriften zu setzen...
Auch wenn alles was Kabellos ist oder mit dem Internet verbunden ist irgendwo risiken hat und geknackt werden kann/irgendwann geknackt wird so sollte jeder so viel Sicherheit wie zur Zeit möglich ist walten lassen...
Zuletzt bearbeitet:
Haggy
Stamm-User
- 86
Sieh's mal so: dank des Rummels behebt Google das Problem innerhalb eines Tages nach Bekanntwerden. Manchmal haben Medien auch was Gutes...
ramdroid
Stamm-User
- 89
Bei Benutzung des Internets wird es IMMER irgendwelche Sicherheitslücken oder Gefahren geben, egal was für ein Gerät oder Betriebssystem man verwendet. Und es wird IMMER Leute geben an denen das einfach vorbeigeht, die aber am Ende dumm aus der Wäsche schauen....
Der ganze Medienrummel ist auch völlig daneben. Zuerst die Geschichte mit dem Location tracking, nun das hier. Bin schon mal gespannt was als nächstes kommt
Der ganze Medienrummel ist auch völlig daneben. Zuerst die Geschichte mit dem Location tracking, nun das hier. Bin schon mal gespannt was als nächstes kommt
M
Marco22
Fortgeschrittenes Mitglied
- 13
Haggy schrieb:
Mmh, und wie kann ich kontrollieren, dass ich das Update auch installiert habe? Bzw. wie fordere ich das überhaupt an??
F
farmerjohn
Erfahrenes Mitglied
- 77
Ich kann die Sache nicht so verharmlosen. Es ist einfach ein Unding, das Kapern eines Accounts so einfach zu ermöglichen. Da haben Leute geschlampt. Es mag ja ein paar Sicherheitsgurus geben, die grds. nie offene WLans benutzen, aber die Masse sieht das sicherlich anders. Und mobile Flatrate. Klar, im Inland. Aber wenn ich sehe, was ich schon an ausländischen Hotspots für Volumen versurft habe.... die Roamingrechnung möchte ich nicht bekommen. (Und ja, ich benutze OpenVPN, aber auch das ist ohne Root nicht möglich.)
Egal, wie die Firma heißt, die den Mist verbockt hat, wie unwahrscheinlich eine Attacke auch ist (jetzt durch die Veröffentlichung sicher um einiges wahrscheinlicher geworden, Stichwort Skriptkiddies), das muss man kritisieren dürfen.
Sent from my HTC Desire using Tapatalk
Egal, wie die Firma heißt, die den Mist verbockt hat, wie unwahrscheinlich eine Attacke auch ist (jetzt durch die Veröffentlichung sicher um einiges wahrscheinlicher geworden, Stichwort Skriptkiddies), das muss man kritisieren dürfen.
Sent from my HTC Desire using Tapatalk
Sin-H
Erfahrenes Mitglied
- 28
Angeblich wird es serverseitig gemacht werden, sodass du kein update machen musst.Marco22 schrieb:
wenn du root bist, kannst du mit shark for root users tcpdumpen und dann die pakete lesen. Heute morgen, 10 Uhr, war bei mir noch alles unverschlüsselt, also noch nix gefixt. Habe mitgeschnitten, während ich meinen Kalender im UMTS-Netz synchronisiert hab (in dem eh nix drinsteht xD)
matt_jackson
Dauer-User
- 326
Bekommt man mit einem Custom Rom auch das Server update ?
Gruß
MaTT
Gruß
MaTT
crobe
Stamm-User
- 60
Lies bitte Server ? Wikipedia und denk dann nochmal über deine Frage nach.
F
farmerjohn
Erfahrenes Mitglied
- 77
Sin-H schrieb:
Halte uns mal bitte auf dem Laufenden. Ich habe es zwar geschafft die pcap-Datei zu erstellen und in Wireshark zu laden, aber dann hört es bei meiner bescheidenen Intelligenz auch auf. Wüsste nicht, wie ich in dem Wust erkenne, was da im einzelnen übertragen wird. Oder hast Du nen Tipp, wonach ich suchen müsste?
matt_jackson
Dauer-User
- 326
Ich denke im Grunde immer über meine Fragen nach, trotz deinem link, der mir im Grunde kein zusätzliches Wissen vermittelte, bleibt meine Frage nach wie vor unbeantwortet.crobe schrieb:
Verstehe desweiteren auch nicht deine herablassende Art und Weise.
Gruß
MaTT
Ähnliche Themen
Kukkatto
