vetzki
Philosoph
- 1.750
4ndr0 schrieb:
Mir ging es eher um das herausfinden welche app überhaupt das systemeigene webview benutzt. Aber danke, kenne XPosed und die versch. module nicht
Sicherheitslücke bei Android vor Version 4.4
- 69 Antworten
- Letztes Antwortdatum
Mir ging es eher um das herausfinden welche app überhaupt das systemeigene webview benutzt. Aber danke, kenne XPosed und die versch. module nicht
Keks66
Ehrenmitglied
- 2.824
@4andr0 - danke noch mal. Hm, außer ein paar Forenaccounts, Geocaching und ähnlich "Lapidarem" kommt mir nix auf die Fones, ganz einfach, weil ich ihnen eh nicht traue 
Aber dennoch natürlich höchst unerfreulich. Zudem ich mich bislang nicht mit 4.4 anfreunden konnte und es außer fürs Rainbow eh für keines meiner Geräte ein Upgrade gibt.
Root haben zwar alle, aber mit xposed mochte ich mich auch noch nie auseinander setzen. Naja, schaun wir mal...
Aber dennoch natürlich höchst unerfreulich. Zudem ich mich bislang nicht mit 4.4 anfreunden konnte und es außer fürs Rainbow eh für keines meiner Geräte ein Upgrade gibt. Root haben zwar alle, aber mit xposed mochte ich mich auch noch nie auseinander setzen. Naja, schaun wir mal...
Dodger
Dauer-User
- 339
Naja, das mag für dich praktikabel sein. Für die Masse der User wird es das kaum sein.
Aktuell kann man zwar die Bugs umgehen, wenn man einen alternative Browser nutzt und alle Apps meidet, welche Werbung einblenden (immerhin 79 der 100 populärsten Android-App)... ich glaube kaum das es lange praktikabel bleibt.
Aktuell kann man zwar die Bugs umgehen, wenn man einen alternative Browser nutzt und alle Apps meidet, welche Werbung einblenden (immerhin 79 der 100 populärsten Android-App)... ich glaube kaum das es lange praktikabel bleibt.
P
PieDieÄj
Dauer-User
- 379
Gut, aber dann ist das doch recht überschaubar, wenn ich weiß, was ich so ansurfe. Außerdem: um an die Formulardaten einer anderen Seite dran zu kommen, müßte diese auch noch gerade auf sein und die böse Seite müßte auch noch ein paar Infos zum anderen window-object haben.
Alles recht schwierig, würde ich als HTML-Programmierer mal sagen, aber es ist bei mir auch etwas her!
Also bleiben die Cookies! Jemand müßte mal versuchen, ob man eine Seite bauen könnte, die einen Facebook-Session-Cookie lesen kann oder nicht.
Und alles in allem sind bei näherem Hinsehen die Apps gar nicht betroffen, selbst wenn sie die WebKit-Engine benutzen.
Wie heißt es so schön: Jetzt drehen wir erstmal in Ruhe durch und dann sehen wir weiter!
Alles recht schwierig, würde ich als HTML-Programmierer mal sagen, aber es ist bei mir auch etwas her!
Also bleiben die Cookies! Jemand müßte mal versuchen, ob man eine Seite bauen könnte, die einen Facebook-Session-Cookie lesen kann oder nicht.
Und alles in allem sind bei näherem Hinsehen die Apps gar nicht betroffen, selbst wenn sie die WebKit-Engine benutzen.
Wie heißt es so schön: Jetzt drehen wir erstmal in Ruhe durch und dann sehen wir weiter!
4
4ndr0
Dauer-User
- 430
Ich kann kein HTML und auch kein JS, aber ich denke, hier wirst du fündig: https://github.com/rapid7/metasploit-framework/pull/3759
enshiro
Fortgeschrittenes Mitglied
- 20
Hilft gegen die Gefahr von Webviev-basierten Werbebannern ein AdBlocker wie AdAway ?
M
mausbock
Dauer-User
- 740
Nö, außer die Werbeblocker würden alle Domains mit Schadcode sperren. Und selbst dann könnte eine App den in ihr eingebetteten Schadcode ausführen.
K
KlackKlick
Fortgeschrittenes Mitglied
- 5
Ist es nun sicher den AOSP Browser unter Android 4.4.4/CM11 zu nutzen?
Spinatlasagne
Dauer-User
- 797
Genau so sicher oder unsicher wie vorher - egal was die schlaumeier sagen
M
mausbock
Dauer-User
- 740
Im Gegensatz zu meinem Vorredner behaupte ich, dass der AOSP ab 4.4 ebenfalls wie die Webview Komponente auf der neuen Blink Engine basiert und damit von Google weiterhin Sicherheitsupdates bekommt.KlackKlick schrieb:
Nur die alte Webkit Engine bis 4.3 wird nicht mehr gepflegt.
R
rudolf
Enthusiast
- 1.542
Heise hat gezeigt wie man diese Sicherheitslücke nutzen kann:
Android-Exploit schleust beliebige Apps ein | heise online
Android-Exploit schleust beliebige Apps ein | heise online
M
mausbock
Dauer-User
- 740
Vielen Dank, rudolf. Ich wollte das eben auch grad posten. Vielleicht wird jetzt mal bissl mehr von den Mitlesern hier drüber nachgedacht und man nicht vorschnell als "Schlaumeier" abgestempelt. ;-)
Dodger
Dauer-User
- 339
Und das sind alles nur die Lücken in der Browser-Engine... möchte nicht wissen was sonst noch an Lücken nicht so public ist. Man muss nur warten bis es auch in Deutschland mal nen richtig grossen Hack gibt... dann wirds lustig für Google.
vetzki
Philosoph
- 1.750
hier gehts aber weder um das eine noch das andere, egal was deine Glaskugel (bezogen auf den "hack" ) sagt.
sorry für ot
sorry für ot
Dodger
Dauer-User
- 339
Immerhin haben die Hälfte aller im Umlauf befindlichen Androiden eine angreifbare Version laufen... mag sein das dir die Dimension nicht bewusst ist...
vetzki
Philosoph
- 1.750
Die Dimension ist mir völlig latte. tatsächlich zuerst falsch gelesen, dachte es geht schon wieder weg von Webkit
Zuletzt bearbeitet:
U
umwelt
Neues Mitglied
- 0
Hallo,
ich komme zu einem Punkt, wo ich ein neues Handy anschaffen möchte.
Allgemein muss ich sagen, ist meine Begeisterung zu Android nicht mehr so groß, wie zu beginn... das liegt auch an der Sicherheitslücke im damaligen Android-Standardbrowser bis 4.4.
Doch wie ist das jetzt eigentlich? Gibt es da nun ein Update für ältere Geräte, oder kann man die praktisch entsorgen?
Ich möchte nicht unbedingt rooten und möchte das Handy einfach ganz normal nutzen können ohne mir Sorgen machen zu müssen...
Wenn die Regel die ist, dass Android alte Versionen nicht mehr mit Sicherheitspatches updates, ist das für mich definitiv ein klarer Punkt gegen Android...
Viele Grüße!
ich komme zu einem Punkt, wo ich ein neues Handy anschaffen möchte.
Allgemein muss ich sagen, ist meine Begeisterung zu Android nicht mehr so groß, wie zu beginn... das liegt auch an der Sicherheitslücke im damaligen Android-Standardbrowser bis 4.4.
Doch wie ist das jetzt eigentlich? Gibt es da nun ein Update für ältere Geräte, oder kann man die praktisch entsorgen?
Ich möchte nicht unbedingt rooten und möchte das Handy einfach ganz normal nutzen können ohne mir Sorgen machen zu müssen...
Wenn die Regel die ist, dass Android alte Versionen nicht mehr mit Sicherheitspatches updates, ist das für mich definitiv ein klarer Punkt gegen Android...
Viele Grüße!
steeven
Dauer-User
- 182
Verstehe dich nicht so ganz. Du möchtest dir ein "neues" Gerät zulegen, machst dir aber Gedanken um theoretische Sicherheitsprobleme von alten Geräten?
Keks66
Ehrenmitglied
- 2.824
@steeven - ich verstehe ihn so, daß er sich Sorgen macht um die zukünftige "Politik" was solche Probleme angeht. Immerhin haben wir aktuell die Situation, dass man vor einem Jahr ein Smartphone überwiegend noch mit 4.2 zu kaufen bekam und dieses nun im Grunde entsorgen kann.
Was also spricht dagegen, daß sich die Geschichte in einem Jahr wiederholt?
Jedenfalls für alle, die mit preisgünstigen Geräten unterwegs sind, wo sich für die Hersteller die Arbeit an Updates schon mal gar nicht lohnt. Ich würde mal vermuten: kann genau so wieder passieren.
Was also spricht dagegen, daß sich die Geschichte in einem Jahr wiederholt?
Jedenfalls für alle, die mit preisgünstigen Geräten unterwegs sind, wo sich für die Hersteller die Arbeit an Updates schon mal gar nicht lohnt. Ich würde mal vermuten: kann genau so wieder passieren.
Otandis_Isunos
Ehrenmitglied
- 6.741
Eine Sicherheitslücke, so wie sie jetzt vorhanden ist bei Geräte vor 4.4, wird nicht nochmal passieren, da die Komponente ja eingestampft worden ist. Zum anderen baut Google die Play-Services immer weiter aus, so dass kritische Elemente auch ohne den Hersteller aktualisiert werden können, abgesehen vom Kernel.
In der Regel muss man sich aber keine großartigen Gedanken machen. Auch bei dieser Lücke muss man das eher weniger. Gab schon schlimmere Lücken.
In der Regel muss man sich aber keine großartigen Gedanken machen. Auch bei dieser Lücke muss man das eher weniger.
Gab schon schlimmere Lücken.
