Schwere Sicherheitslücke in 2.1/2.2

[matze91]

Custom Roms bekommen das Update natürlich nicht von Google...
Hier muss der Dev nachbessern.

Alle anderen bekommen es automatisch in den nächsten Tagen. Egal welches Gerät und welcher Hersteller!

 

[Thyrion]

Bekommt man mit einem Custom Rom auch das Server update ?

Nein, denn das ist ja ausschließlich für Server gedacht.

 

[matt_jackson]

Thx @ matze91
Du hast genau den Tenor meiner Frage im eigentlichem verstanden und beantwortet.

Thx @ Thyrion
kk, verstehe nun das Missverständnis


Gruß
MaTT

 

[matze91]

@matt_jackson

Du hast hier einfach alle ein wenig mit dem Server irritiert

Du meintest vielleicht, das Update vom Google Server - aber ist ja auch egal
Geeks sind nun mal ein ganz eigenes Völkchen^^

 

[crobe]

Hallo,

Ich denke im Grunde immer über meine Fragen nach, trotz deinem link, der mir im Grunde kein zusätzliches Wissen vermittelte, bleibt meine Frage nach wie vor unbeantwortet.
Verstehe desweiteren auch nicht deine herablassende Art und Weise.

entschuldige bitte wenn du dich durch meine kurze Antwort auf den Schlips getreten fühlst, aber deine Frage war einfach eine Steilvorlage
Aber es ist ja alles geklärt.

-rob

 

[Sin-H]

Halte uns mal bitte auf dem Laufenden. Ich habe es zwar geschafft die pcap-Datei zu erstellen und in Wireshark zu laden, aber dann hört es bei meiner bescheidenen Intelligenz auch auf. Wüsste nicht, wie ich in dem Wust erkenne, was da im einzelnen übertragen wird. Oder hast Du nen Tipp, wonach ich suchen müsste?

wenn du die Datei im wireshark suchst, gibt es pakete, die so aussehen, wenn es noch nicht gefixt ist:
GET /proxy/contacts/groups/username@gmail.com.......
und dann steht da drin:
GoogleLogin auth=DQAA.....

das nach dem auth ist das AuthToken

ich werde täglich einen dump machen und schauen, ob sich was ändert.

 

[First Blood]

Custom Roms bekommen das Update natürlich nicht von Google...
Hier muss der Dev nachbessern.

Alle anderen bekommen es automatisch in den nächsten Tagen. Egal welches Gerät und welcher Hersteller!

Für den Fall das Ich es überlesen habe....aber wie bekommt man das Update?

Übers Funknetz?

Und was muss Ich am Smartphone einstellen das Ich es bekomme!?

Ich habe das LG P990!

 

[Sin-H]

welches der drei Worte "keine", "Nutzerhandlung" und "notwendig" ist denn so schwer zu verstehen?

btw: heute morgen auch noch plaintext tokens. Naja, lassen wir ihnen mal ein paar Tage Zeit ^^

 

[farmerjohn]

Danke für die Beschreibung, nach GET, meiner E-Mail und Auth hatte ich auch gesucht, aber nichts gefunden. Ich mach nachher aber noch einen dump und guck es mir dann nochmal genauer an.

Sent from my HTC Desire using Tapatalk

 

[bas-t!]

Wenn "keine", "Nutzerhandlung" und "notwendig" ist, kann man dann überhaupt nachvollziehen, ob das Update eingfespielt ist?

 

[Hatshipuh]

Der Patch ist doch nur für die Server von Google, die mit den Handys kommunizieren, oder sehe ich das falsch?
Somit kommt gar kein Patch für die Handys an sich.

 

[fabian485]

Das sehe ich auch so, anscheinend haben die meisten Leute (auch die Redakteure etablierter Nachrichtenmagazine) das lesen verlernt.

Das Problem wird rein serverseitig behoben (Redirect auf https?), es ist nicht nötig etwas auf den Endgeräten zu installieren.

 

[matze91]

Naja so stimmt es auch nicht ganz, man muss den Apps schon sagen, das sie über https senden sollen.
Das wird ja gerade durch das Update gemacht, welches auf alle Devices kommt.

 

[Lion13]

Ich darf vielleicht noch einmal die offizielle Stellungnahme von Google erwähnen:

Today we’re starting to roll out a fix which addresses a potential security flaw that could, under certain circumstances, allow a third party access to data available in calendar and contacts. This fix requires no action from users and will roll out globally over the next few days.

(Quelle: Androidpolice.com)

Das impliziert schon, daß es nicht nur serverseitig bei Google zu Änderungen kommt, sondern eben auch ein Fix auf die Geräte verteilt wird.

 

[crobe]

In der gleichen Quelle wird auch geschrieben:

Clarification: The fix is going out server side – meaning local authTokens will be erased and replaced with new (secure) ones upon logging back in to the affected service. Thanks to commenters for pointing this out.

"Roll out" kann auch Google intern sein. Wenn die einen Fix von Systemdateien auf ALLE Geräte pushen könnten, hätte jeder schon Gingerbread drauf.

 

[Lion13]

Hoppla - das Update der Meldung ("Clarification") hatte ich ganz übersehen.

 

[bas-t!]

"Roll out" kann auch Google intern sein. Wenn die einen Fix von Systemdateien auf ALLE Geräte pushen könnten, hätte jeder schon Gingerbread drauf.

Ja, da wollte ich ja drauf hinaus. Bei Updates die auf die Geräte gespielt werden steckt ja meist auch der Netzbetreiber/Hersteller mit drin...

 

[fant0mas]

Also waere damit auch die Frage inwiefern ROMs benachteiligt sind geklaert:
Es is piepegal, da eh nix am Telefon selbst veraendert wird.

Korrekt?

 

[First Blood]

welches der drei Worte "keine", "Nutzerhandlung" und "notwendig" ist denn so schwer zu verstehen?

btw: heute morgen auch noch plaintext tokens. Naja, lassen wir ihnen mal ein paar Tage Zeit ^^

Na ja es ist eher schwer zu verstehen das man nicht eine richtige Antwort

bekommt!

Ich hab z.b. keinen Datenverkehr an...also keinen Kontakt ins Internet über

das Mobilfunknetz!

Dann habe Ich dazu noch Kontensynchronisierung abgestellt.

Aber Ich denke das wird man da nicht brauchen.

Dann habe Ich auch keine automatische Softwareaktualisierung an!

Brauche Ich ja auch nicht da Ich kein Internet an habe!

Langt es also wenn nur das Internet aktiviert ist!?

Und woran merke Ich dann das sich was geändert hat?

 

[Sin-H]

wenn du kein Internet an hast, bist du doch auch nicht betroffen von der Lücke, die kommt nur von der Synchronisation. Oder hast du das Internet nur deswegen ausgemacht?

Merken, dass sich was geändert hat, kannst du nur, wenn du versuchst, dich selbst zu attackieren mit diesen tcpdumps. Das geht nur, wenn du root bist, oder du versuchst, von einem Computer aus die Pakete, die dein Handy abschickt, zu sniffen, was bei verschlüsselten WLANs ziemlich schwierig ist (aber nicht unmöglich, besonders dann nicht, wenn, wie bei fast allen privaten WLANs, der Schlüssel gleich ist).