Schwere Sicherheitslücke in 2.1/2.2

  • 92 Antworten
  • Letztes Antwortdatum
Sin-H schrieb:
wenn du kein Internet an hast, bist du doch auch nicht betroffen von der Lücke, die kommt nur von der Synchronisation. Oder hast du das Internet nur deswegen ausgemacht?

Merken, dass sich was geändert hat, kannst du nur, wenn du versuchst, dich selbst zu attackieren mit diesen tcpdumps. Das geht nur, wenn du root bist, oder du versuchst, von einem Computer aus die Pakete, die dein Handy abschickt, zu sniffen, was bei verschlüsselten WLANs ziemlich schwierig ist (aber nicht unmöglich, besonders dann nicht, wenn, wie bei fast allen privaten WLANs, der Schlüssel gleich ist).

Nein Ich bin nur selten im Internet über das Smartphone.

Ab und zu mal Emails abrufen...kurz ins wkw schauen.

Ich mach es nur an wenn Ich es brauche.

Es ist hauptsächlich aus wegen der Akkulaufzeit.

Sonst gibt es keinen anderen Grund.

Über Wlan gehe Ich nicht ins Internet.

Ich habe die Daten für mein Heimnetzwerk zwar eingegeben...aber

komischerweise bekommt das LG keine Verbindung zum WLAN Router.

Bei einem Bekannten funktioniert es einwandfrei...bei mir daheim nicht!
 
Das klingt so als wenn du deinen Google Kalender oder deine Google Kontakte nicht synchronisierst. Dann hast du GARKEIN Problem.
 
crobe schrieb:
Das klingt so als wenn du deinen Google Kalender oder deine Google Kontakte nicht synchronisierst. Dann hast du GARKEIN Problem.

Doch Ich habe es mal synchronisiert.

Aber über das Mobilfunknetz!

Soweit Ich weiss betrifft die Sicherheitslücke nur offene WLAN Netze!?
 
First Blood schrieb:
Soweit Ich weiss betrifft die Sicherheitslücke nur offene WLAN Netze!?

Korrekt. Nutzt du kein WLAN, hast du kein Problem! :)
 
First Blood schrieb:
Soweit Ich weiss betrifft die Sicherheitslücke nur offene WLAN Netze!?
https://www.android-hilfe.de/forum/...ke-in-2-1-2-2.104050-page-2.html#post-1443895

der UMTS-Standard sieht eigentlich Verschlüsselung vor, aber ich zweifle sehr stark daran, dass die Provider dies konsequent umsetzen. Ich weiß, dass das Abhören von Gesprächen in derselben Mobilfunkzelle mit der richtigen Ausrüstung recht einfach möglich ist. Was nicht verschlüsselt ist, kann abgehört werden, das ist unabhängig vom Betriebssystem und der Verbindung.

Aber zur Beruhigung: heutzutage ist es eh ein Wunder, wenn man mal NICHT abgehört werden kann (SSL wurde ja auch schon vor einigen Jahren geknackt), und das Abhören von offenen WLAN-Netzwerken kann jeder Depp, das andere Zeug nicht :D
 
Sin-H schrieb:
der UMTS-Standard sieht eigentlich Verschlüsselung vor, aber ich zweifle sehr stark daran, dass die Provider dies konsequent umsetzen. Ich weiß, dass das Abhören von Gesprächen in derselben Mobilfunkzelle mit der richtigen Ausrüstung recht einfach möglich ist. Was nicht verschlüsselt ist, kann abgehört werden, das ist unabhängig vom Betriebssystem und der Verbindung.

Aber zur Beruhigung: heutzutage ist es eh ein Wunder, wenn man mal NICHT abgehört werden kann (SSL wurde ja auch schon vor einigen Jahren geknackt), und das Abhören von offenen WLAN-Netzwerken kann jeder Depp, das andere Zeug nicht :D

Es kostet immernoch 1000$ nen IMSI catcher zu bauen und die UMTS Verschlüsselung ist nicht geknackt, nur die GSM Verschlüsselung lässt sich mit ein paar Tbyte rainbow tables innerhalb kurzer zeit brechen.

Und dass der ALgorithmus der SSL Verschlüsselung geknackt ist möchte ich gerne sehen, RSA oder AES haben schwächen aber bisher kein Problem.

Und es geht eher darum von irgendwelchen deppen belauscht zu werden, stichwort skript kiddie, das hast du richtig erkannt.

Zum Thema: xkcd: Security
 
News: meine AuthTokens werden nun verschlüsselt übertragen ^^
 
Bei mir siehts meiner laienhaften Betrachtung nach so aus, dass ich je nach Gerät unterschiedliche Ergebnisse habe.

Legend mit CM7: Kalender und Picasa wird unverschlüsselt übertragen.

Desire mit Leedroid 2.4: Picasa unverschlüsselt, zum Kalender kann ich nichts finden, scheint demnach verschlüsselt zu sein.

Meine Kontakte synchronisier ich nicht mit Google und werde das auch zu Testzwecken nicht tun.
 
ich habe picasa nicht ausprobiert, aber Kontakte und Kalender funktionieren.
a) vielleicht liegt es daran, dass noch nicht alle server gepatcht wurden und dein eines Gerät gerade zufällig über einen Server synchronisieren wollte, der eben noch nach dem alten Mechanismus funktioniert.

b) ich glaube, auf der Quelle sogar gelesen zu haben, wass man bei Picasa noch länger warten müsse.
 
Sin-H schrieb:
b) ich glaube, auf der Quelle sogar gelesen zu haben, wass man bei Picasa noch länger warten müsse.

Das ist richtig - Picasa stammt von externen Entwicklern, da ist Google noch noch in der "Findungsphase", wie das gefixt werden kann.
 
Moin,

Sin-H schrieb:
News: meine AuthTokens werden nun verschlüsselt übertragen ^^
kannst du ausführen, inwieweit was verschlüsselt wird? Bei der aktuellen Kommunikation habe ich einen GET request vom Handy, gefolgt von einem TLS gesicherten teil, gefolgt von einem ungesicherten http Teil, worin wieder einige GET requests und Nutzdaten per POST unverschlüsselt gesendet werden.

Bei mir wird immernoch alles unverschlüsselt gesendet und das Token hat sich seit gestern nicht geändert.

farmerjohn schrieb:
Bei mir siehts meiner laienhaften Betrachtung nach so aus, dass ich je nach Gerät unterschiedliche Ergebnisse habe.

Legend mit CM7: Kalender und Picasa wird unverschlüsselt übertragen.

Desire mit Leedroid 2.4: Picasa unverschlüsselt, zum Kalender kann ich nichts finden, scheint demnach verschlüsselt zu sein.
CM7 sollte laut Aussage von Google ( Android 2.3.4 ) den Kalender verschlüsselt übertragen, hast du dich verguckt oder hat google gelogen?

Und wonach hast du in der Leedroid kommunikation gesucht? :)

/edit: Rennt bei mir jetzt auch alles verschlüsselt.
 
Zuletzt bearbeitet:
crobe schrieb:
kannst du ausführen, inwieweit was verschlüsselt wird? Bei der aktuellen Kommunikation habe ich einen GET request vom Handy, gefolgt von einem TLS gesicherten teil, gefolgt von einem ungesicherten http Teil, worin wieder einige GET requests und Nutzdaten per POST unverschlüsselt gesendet werden.
TLSv1 Encrypted Alert
TCP 51710 > https [FIN,ACK] ....
DNS Standard query A android.clients.google.com
TCP 50710 > https [SYN] ...
TCP https > 50710 [SYN,ACK]
...
TLSv1 Client Hello
TLSv1 Server Hello
...
TLSv1 Client Key Exchange, Change Ciper Spec, Encrypted Handshake Message
...
TLSv1 Application Data
...

usw, alles in TLSv1 und https.
 
crobe schrieb:
CM7 sollte laut Aussage von Google ( Android 2.3.4 ) den Kalender verschlüsselt übertragen, hast du dich verguckt oder hat google gelogen?

Weder noch, CM7 basiert auf 2.3.3.


Und wonach hast du in der Leedroid kommunikation gesucht? :)

Na, ganz einfach nach dem Teil, den ich beim Legend-Dump schon gesehen hatte. (Im Klartext GET api/calendar/blablabla). Es sieht beim Leedroid aus wie jetzt von Sin-H beschrieben.

@Sin-H Ja, es wurden unterschiedliche Server bei Google angesprochen.
 

Ähnliche Themen

ses
Antworten
1
Aufrufe
427
maik005
maik005
K
  • Kukkatto
Antworten
4
Aufrufe
158
Kukkatto
K
E
Antworten
6
Aufrufe
207
jandroid
jandroid
Zurück
Oben Unten