Sicherheitslücke bei Android vor Version 4.4

  • 69 Antworten
  • Letztes Antwortdatum
Es ist natürlich immer abhängig, was man mit dem Phone macht. aber selbst wenn man kein online Banking macht, kann man Geld verlieren.

Folgender Exploit kann fremde URLs unterschieben, wenn ich das richtig verstehe: Android Browser Same Origin Policy Bypass < 4.4 - CVE-2014-6041 | Learn How To Hack - Ethical Hacking and security tips

Bsp: Du bestellst was bei Ebay, bezahlst via Paypal und wunderst Dich, dass das Paket nicht kommt. Das Geld hat inzwischen jemand anderes. ;-)

Wie einfach man Schadsoftware an jeden verbreiten kann, wurde bereits 2013 bekannt: Manipulierte Werbebanner: Schadsoftware in Onlinewerbung - Netzwirtschaft - FAZ

Wieviele Sicherheitslücken noch kommen oder schon im Umlauf sind, ist nicht bekannt. Es sind aber durchaus auch andere Dinge möglich, z.B. das Installieren von Apps oder die Erweiterung von Berechtigungen. Und wenn Dein Phone auf einmal viele teure Premium SMS versendet macht das keinen Spaß mehr. Und wenn Du dann die "böse" App finden willst, ist jede, die Webview verwendet ein potentieller Kandidat. Ach ja, jede App, welche Werbung anzeigt, soll angeblich Webview verwenden. Um sicher zu gehen, müsstest alle Apps löschen, was bei nem Smartphone irgendwie auch keinen Sinn ergibt.

Ich find es schade, dass Google die Anwender im Regen stehen lässt. Besser wäre es, die würden die Lücken schließen und damit den schwarzen Peter an die Gerätehersteller schieben, die keine Updates ausliefern.
 
Zuletzt bearbeitet:
Google liefert ja selbst nicht für geräte älter als das nexus7-2012. Alles in allem ganz schwache leistung und sie hätte sich vll. früher drum kümmern sollen das wichtiges unabhängig aktualisiert werden kann
 
@Spinatlasagne: es gibt genug Bugs die bei Android aktiv ausgenutzt werden und du wirst davon nie etwas hören und lesen. Ich kenne genug Leute die es nicht mal merken, wenn sie gehackt wurden.

Aber du wartest ja sicher das ein grosser Hack bei Bild auf der ersten Seite steht :)

Abgesehen davon das es aktuell nichts mit Panikmache zu tun hat. Es lenkt halt den Fokus auf die Schwachstelle von Android... und Googles unprofessionellen Umgang damit.

In einem Punkt geb ich dir aber recht: es gibt genug 0-day-exploits die gefährlicher sind, aber über die man nie etwas hören wird... von der Warte is Panikmache sinnlos bzw. absolut unproduktiv.

@Thyrion: Die App-Entwickler können kaum Kontrolle über eine andere App bzw. den Service einer anderen APp haben den sie nutzen. Von der Warte her ist es (wie hier tw. üblich) schöngerede.
 
Meine ehrliche Meinung zu dem ganzen Thread: Der gehört mittlerweile in die Plauderecke.

Außerdem hab ich mir schon gedacht, als ich die Meldung gelesen habe, daß es gleich wieder einen "Oh Gott, wir werden alle sterben"-Thread dazu gibt.

My 2 cents.....

Abhilfe: Den Browser löschen, bzw. deaktivieren und einen Alternativen verwenden oder eben ein Update auf 4.4 oder größer machen.
 
Es ist eine Beleidigung. Auch wenn du es (mal wieder anders siehst).

Es gibt hier im Thread genug Infos, für Leute die sich für das Thema interessieren. Da hier ein (expliziter) Laie den Thread angestossen hat um Auskunft zu bekommen wie relevant das Problem ist, finde ich es fahrlässig einfach pauschales Geschwafel abzulassen.

Da jede Android-Version unter Android 4.4 Webkit nutzt (man muss wohl davon ausgehen, das selbst der Chrome-Browser für Javascript Webkit nutzt - ja nutzen muss) und diese Lücke nicht mehr gefixt wird, laufen alle Leute mit offenen Lücken rum, welche diese Versionen einsetzen.

Umgekehrt ist es natürlich so, das Entwickler, die die lückenhafte Webview-Komponente konsequent ausschliessen wollen müssen zwingend Android 4.4 (bzw. API 1.9 vorschreiben - nachzulesen ist das hier).

Man darf also durchaus gespannt sein, wann die erste Welle der Apps losgeht, die zwingend Android 4.4 vorraussetzen...

Das immer wieder diese "den Stock-Browser nicht nutzen-Sprüche" kommen, macht mich in einem Forum, wo man eine gewisse Auseinandersetzung mit dem Thema erwartet echt sprachlos... auf SPON würde ich ja nichts anderes erwarten... aber hier.

Wer bis jetzt keine Ahnung hat und sich fürs Thema wirklich interessiert, der findet z.B. auf DroidSec eine gute Übersicht).
 
Da jede Android-Version unter Android 4.4 Webkit nutzt (man muss wohl davon ausgehen, das selbst der Chrome-Browser für Javascript Webkit nutzt - ja nutzen muss) und diese Lücke nicht mehr gefixt wird, laufen alle Leute mit offenen Lücken rum, welche diese Versionen einsetzen.

Und damit liegst du falsch. Google Chrome verwendet seit Version 28 die Renderengine Blink.

Blink ist zwar eine WebKit-Abspaltung, aber eben kein WebKit.

Und wenn das so weiter geht mit dem Thread, mach ich hier dicht. Also benehmt euch gefälligst. Und: Wenn ihr was postet, dann recherchiert gefälligst ordentlich.
 
  • Danke
Reaktionen: mausbock
Lies bitte nochmal meinen Beitrag. Es geht hier nur um die Javascript-Sachen... nur die werden von Chrome über Webkit abgewickelt... und gerade die sind durch den Bug betroffen... kann man übrigens in den vom mir verlinkten Dokument von Google nachlesen.

Ich geb dir aber vollkommen recht.. richtig recherchieren... würde den Thread deutlich aufwerten :)
 
Google mag wohl, aus Geldgier, keine Updates bringen wegen des neueren SIcherhetsproblems bei Android<4.4.

(Wie) kann ich mich trotzdem in SIcherheit wägen? Den Googlebrowser nutze ich sowieso nicht. Aber das Problem liegt wohl 'tiefer'.

Ich mag nicht ständig neue Geräte kaufen. Meine HAndys halten immer ewig lange. Und das Wiko Peax2 ist noch/lange voll ausreichend für das was ich damit mache.

Ein neueres Android als 4.2.1 gibts ja afaik nicht dafür.
 
Zuletzt bearbeitet:
Diskutiert wird das aktuell hier, von daher braucht's keinen zweiten Thread. Schau mal das Thema durch. Da ist schon was dazu gepostet worden.
 
Ums mal für doofe/mich zu erklären: Wie kann ich verhindern dass ich mir 'Böses' einfange?
Genügts nur 'sichere' Apps zu nutzen?
Geht die gefahr von 'zweifelhaften' Webseiten aus? Oder PopUps?

oder CustomRom, wenn das was hilft, wäre wieder ein Thema was neu für mich ist. (sicherlich ist das genau so einfach wie rooten, wovor ich auch bammel hatte. Aber wenn mans kennt weis man dass es ne Sache von wenigen Sekunden ist.)
 
Da leider Webkit tief ins System integriert ist und (eigentlich) von jeder App irgendwie "mitgenutzt" wird kannst du es nicht wirklich verhindern.

Das einzig sichere ist ein Upgrade. Wenn es für dein Gerät Custom Roms gibt bietet es sich an.
 
CRs gibts schon. Aber ich weis nicht ob diese nicht auch eine aktuelle (CR-)Version haben/brauchen, da die, mutmase ich mal, auch auf einer AndroidVersion basieren. ....????????????????
 
Wie hier bereits geschrieben wurde, brauchst Android 4.4 oder höher, um die Lücke zu schließen. Allein der Chrome Browser hilft nicht. Und sichere Apps gibt es in dem Zusammenhang auch nicht. Jede App kann Webview verwenden und ggf. Schadcode bewusst oder unbewusst, z.B. über manipulierte Werberbanner nachladen.
 
laubentaucher schrieb:
Ums mal für doofe/mich zu erklären: Wie kann ich verhindern dass ich mir 'Böses' einfange?
Genügts nur 'sichere' Apps zu nutzen?
Geht die gefahr von 'zweifelhaften' Webseiten aus? Oder PopUps?

oder CustomRom, wenn das was hilft, wäre wieder ein Thema was neu für mich ist. (sicherlich ist das genau so einfach wie rooten, wovor ich auch bammel hatte. Aber wenn mans kennt weis man dass es ne Sache von wenigen Sekunden ist.)

Die Browserlücke wirst du so nicht los. Grundsätzlich hilft immmer erstmal mitdenken, das vermeidet erfahrungsgemäß die meisten Fehler. Virenscanner etc sind da eher zweifelhaft, interaktive Firewalls sind meines Wissens auf Android noch eher mau. Die App "Secure Update Scanner" kann ich nur empfehlen, die hält dir einige schädliche Apps vom Hals, auch wenn du unsichere Quellen zulässt.

Unter Android ist man leider der Willkür der Hersteller ausgeliefert, was Updates angeht, es sei denn man setzt auf Custom ROMs, aber wenn man da selbst nicht den Peil hat muss man auch das Glück haben dass für neue Versionen eins fürs passende Modell existiert.
 
Ach wisst ihr was...
Auch wenns gegen meine Prinzipien ist viel zu schnell ein neues Smarti zu kaufen, und das Wiko, bis auf langsamen GPS-Empfang und in eine App durch Kamerafunktion hin und wieder abstürtzte, keinerlei Probleme machte; -Bei Aldi gibts das Samsung S4mini. Das kaufe ich in 'ner Stunde.

Schäbig. Sonst hielten meine Handys ~5Jahre, bis wirklich nix mehr ging. Hier warens jetzt ~12Monate und eigentlich geht ja alles.
Naja, das Wiko Peax bekommt'n Kumpel für relativ viel Geld. -hoffe ich doch.


...und Google! Du wenn mir mal im Dunklen begegnest, ...dann mach ich hinterrücks ganz fiese Grimassen. :flapper:
 
Welche Apps die Systemeigene webview nutzen sollten sich eigentlich mit fuser und/oder lsof herausfinden lassen (allerdings nur als su).
Eine alternative für Apps <5.0 ist evlt. Crosswalk (https://crosswalk-project.org/ )
 
Weiter oben stellte jemand die spannende Frage, was genau denn der Bug bedeutet. Ich lese nun die Tage folgenden Spruch an jeder Ecke, nahezu fast immer wörtlich:

"Der Fehler erlaubt es beispielsweise Angreifern, an die Daten zu gelangen, die ein Nutzer bei anderen Webseiten gespeichert hat."

Was für ein Spruch! :( Was ist damit gemeint? Ich kann "auf Webseiten" nichts speichern. "Andere" Webseiten könnten Cookies (bei mir speichern) oder der Browser kann Formulardaten speichern, die ich auf Webseiten eingebe.

Also, kann mit jemand erklären, was jetzt schlimmes geschehen kann? Ich gestehe, mir die beiden links, die oben angegeben sind, nicht näher angeschaut zu haben, da ich nicht sicher bin, das dortige Englisch richtig zu verstehen.

Also, hat jemand eine Quelle, die das Problem einigermaßen professionell auf deutsch beschreibt, denn der obige Satz, den man übrigens mit Google ein paar tausend mal findet, kann es wohl nicht sein!

Ich kann HTML und Javascript, daher würde ich es gerne besser verstehen.
 
  • Danke
Reaktionen: Keks66 und Spinatlasagne
vetzki schrieb:
Welche Apps die Systemeigene webview nutzen sollten sich eigentlich mit fuser und/oder lsof herausfinden lassen (allerdings nur als su)
Warum so kompliziert? Einfach XPrivacy benutzen, dann kommt eine Berechtigungsanfrage, sobald eine App Webview nutzen möchte. Wenn du die bereits gestartete mit lsof untersuchst, ist es doch eh schon zu spät.

@PieDieÄj

Ganz genau, Cookies. Oder Formularfelder. Solche Ressourcen sind normalerweise auf die eigene Domain beschränkt. Das nennt sich "Same Origin Policy" und ist ein fundamentales Sicherheitskonzept bei Anwendungen, die Webinhalte darstellen, insbesondere Browser. Der Bug, um den es hier geht, ist ein "Same Origin Policy Bypass", erlaubt also die Umgehung dieser Policy.

Das bedeutet, dass speziell präparierte Webseiten über Javascript auf Ressourcen zugreifen können, auf die sie keinen Zugriff haben dürfen. Dazu zählen z.B. Session Cookies anderer Tabs und Passwortfelder und Formulardaten anderer Webseiten. Deshalb ist dieser Bug ein GAU.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: vetzki und Keks66
Ok, das ist mal was, das ich wohl verstehe - mit den englischen Texten tu ich mich leider nämlich ebenfalls schwer :rolleyes2:
Aber dazu mal weiter gefragt: Landen von allen Browsern (also auch solche mit eigener Engine) UND dem webview alle cookies / formulardaten in einem Topf? Oder besteht die Gefahr wiederum nur, wenn Apps z.b. Anmeldedaten an webview übergeben, sowie natürlich der Stockbrowser? Was ja das Risiko doch einigermaßen minimieren würde, wenn man einen Browser mit eigener Webengine verwendet.
Verstanden was ich meine? :rolleyes2:
 
Die Daten landen nicht in einem Topf. Jeder Browser bringt ja seine eigene Cookie-Verwaltung mit. Wenn du dich mit der Facebook-App über die Webview-Komponente an deinem FB Account anmeldest und danach den Stock Browser startest, musst du dich ja auch erneut anmelden.

Aber nun stell dir mal vor, du tippst in der Facebook-App auf einen Link, der im internen Facebook-Browser geöffnet wird. Wenn dort schädlicher Code lauert, hat der Angreifer deine Sitzungscookies und kann mit deinem Account machen, was er möchte.

Das ist nur 1 von tausenden Beispielen. So vorsichtig kann man garnicht sein, dass man alle Szenarien ausschließen kann.

Ja, wenn du einen Browser mit eigener Engine verwendest, bist du schonmal sicherer, da du dann zumindest beim normalen Browsen nicht mit der Webview Engine in Berührung kommst. Deine Cookies sind sicher und Formulardaten kannst du hier auch eingeben.

Doch das ist halt nur ein Workaround, keine Lösung. Um ein Update auf eine Android-Version ≥ 4.4 wird man nicht herumkommen. Bis dahin ist man ein potentielles Opfer dieses Bugs.
 
  • Danke
Reaktionen: Dodger

Ähnliche Themen

franc
Antworten
10
Aufrufe
507
franc
franc
K
Antworten
14
Aufrufe
1.633
KevinT
K
5
Antworten
1
Aufrufe
349
jandroid
jandroid
Zurück
Oben Unten