[ROM] CyanogenMod 11.0 (Android 4.4.4)

[ooo]

Kein Haken = sicher (vor Verbindungen von aussen)

Wenn in den Einstellungen der AFWall+ Firewall der Haken bei "Erlaube eingehende Verbindungen" nicht gesetzt ist, dann kann niemand von außen eine Verbindung zu deinem Phone herstellen, um den ShellShock-Exploit auszunutzen.
___

Dann gibt es ja einige Apps, die eine (stehende) Verbindung ins Internet *irgendwohin* aufbauen und von dort Daten zurückerhalten (Mail, Messenger etc.). - Frage: Sind das dann nur die angeforderten Daten oder können das auch z. B. Steuerbefehle sein, um etwas auf dem Phone zu machen, was ich nicht möchte?
___

Allerdings gibt es evtl. auch für Apps mit "root" oder Shell-Scripts, die als User/Gruppe "02000 - shell" oder "00000 - root" als Berechtigung habe, die *Möglichkeit* u. U. Dinge zu tun (dann von innen), die dir nicht gefallen würden. - Das Thema ist komplex.
___

Deswegen habe ich mir für's Erste die bash selber kompiliert(, da Quarx ein neues, atemberaubendes Mädel kennengelernt zu haben scheint oder noch größere Probleme in sein Leben getreten sind ... <= joke).
___

Inzwischen gibt es inoffiziell noch zwei weitere Sicherheitslücken, die aber noch nicht dokumentiert sind und auch nur sehr schwer - wenn überhaupt - ausnutzbar.

Wenn es neue Patches, aber noch keine gefixte Nightly gibt und ich die Zeit habe, werde ich eine neue bash kompilieren.

Man kann der bash auf dem Phone ja auch die Ausführungsrechte komplett entziehen. Bis jetzt habe ich noch keinen Prozess feststellen können, der die bash benötigt/benutzt.
_____

[...] meine AFWall+ verhindert dies? Das heißt, wenn sie richtig eingestellt ist? [...]

 

[redskin]

Dann dort (alte) bash in bash.original umbenennen (und evtl. die Berechtigung "X" wegnehmen, um die ungewollte Ausführung zu verhindern)

moin,
scheitere gerade beim Versuch, die bash-Datei umzubenennen, finde im CM Filemanager keinen Menüpunkt , um dieses zu bewerkstelligen
Kann mir das mal bitte jemand laienverständlich erklären ?

 

[ooo]

• Phone muss gerootet sein (ist vermutlich so)
• Im CM Filemanager in den Einstellungen (Menü-Taste) unter "Allgemeine Einstellungen" > "Zugriffsmodus" > "Root-Zugriffsmodus" wählen (Superuser-Anfrage erlauben)
• CM Filemanager beenden und wieder starten
• Jetzt die gleiche Einstellung nochmal machen (das ist ein Caching-Problem in der App)
• Wenn gar nichts geht, alle Apps aus der App-Liste kicken (evtl. Phone neu starten, evtl. Wipe Dalvik Cache)
• Dann nochmal versuchen, den Dateinamen/die Rechte zu ändern

Ach so: Umbenennen und Rechte setzen (Eigenschaften > Berechtigungen) geht über langen Touch auf den Dateinamen ;-)

 

[redskin]

@ ooo: ersteinmal ein dankeschön Aber ich habe mich scheinbar missverständlich geäussert, ich scheitere , an der Prozedur der Umbenennung der Datei, nicht der Rechtevergabe
lG

 

[ooo]

Probier' mal die Checkliste im Post über deinem komplett durch. - Sag' Bescheid, wie's ausging.

 

[redskin]

so, nachdem ich mich tüffelig angestellt habe, ist es mir nun doch gelungen
Dankeschön

 

[ooo]

Prima.

 

[Pizzapeter]

Kein Haken = sicher (vor Verbindungen von aussen)___

Dann gibt es ja einige Apps, die eine (stehende) Verbindung ins Internet *irgendwohin* aufbauen und von dort Daten zurückerhalten (Mail, Messenger etc.). - Frage: Sind das dann nur die angeforderten Daten oder können das auch z. B. Steuerbefehle sein, um etwas auf dem Phone zu machen, was ich nicht möchte?
___

Allerdings gibt es evtl. auch für Apps mit "root" oder Shell-Scripts, die als User/Gruppe "02000 - shell" oder "00000 - root" als Berechtigung habe, die *Möglichkeit* u. U. Dinge zu tun (dann von innen), die dir nicht gefallen würden. - Das Thema ist komplex.
___

Deswegen habe ich mir für's Erste die bash selber kompiliert(, da Quarx ein neues, atemberaubendes Mädel kennengelernt zu haben scheint oder noch größere Probleme in sein Leben getreten sind ... <= joke).
___

Wie du das so schreibst... Hab es dann auch mal, trotz "Kein Haken" gemacht.... ein kleiner Fehler, hab anstatt der entpackten bash, den kompletten übergeordneten Ordner eingefügt .....
Erfolg: AFWall Funzt nicht mehr, kein Root... im CM Filemanager kann ich keine Zugriffsrechte mehr einstellen, um es zu korrigieren... kein Root

CM11 kurzerhand neu installiert, alles nochmal richtig gemacht.. Sicherheitslücke geschlossen, hab dabei einiges über den Filemanager gelernt, und z.T. die Angst verloren sowas zu machen

 

[Ani]

hallo .
ich habe zum 1.x geflasht u. mit hilfe eines install-assistenten cynanogenMod 11.0 installiert.
soweit so gut.
ziel war es, google frei zu werden.
zu meiner grossen entäuschung sind die google apps immer noch drauf.
leider verstehe ich zu wenig von handy´s, daher weiss ich nicht weiter.
ich würde a) gerne die google apps loswerden
und b) auch aopk ausprobieren.
aber ich weiss nicht wie.

kann mir jemand bitte helfen?
ich bin absolut anfänger.
lieben dank und gruss
ani

 

[Pizzapeter]

CM11 kurzerhand neu installiert, alles nochmal richtig gemacht.. Sicherheitslücke geschlossen, hab dabei einiges über den Filemanager gelernt, und z.T. die Angst verloren sowas zu machen

Nicht nur die Angst, auch die Nerven verliere ich so langsam Alles war gut, bis ich Xposed neu installieren/Aktualisieren wollte... ging nicht, kein Root. Neu gestartet... AFWall startet nicht, kein Root, Filemanager... kein Root. Im Superuser ist AFWall eingetragen und erlaubt Bleibt nur, alles nochmal... oder gibt es noch eine andere Lösung?

 

[ooo]

@Ani

Hallo, um dir helfen zu können, müssten wir dein Smartphone und die genaue Bezeichnung deines ROMs wissen?

Hier geht es um das Motorola Defy und die ROM CyanogenMod 11 KitKat 4.4.4. Wir haben keinen Installations-Assistent. - Die GApps (Google Apps) flashen wir getrennt nach dem Flashen des ROMs. - Das ist immer optional. - Auch liefert das ein CyanogenMod-ROM (CM 11) i. d. R. nicht mit (dürfen die aus Lizenz-rechtlichen Gründen nicht, der Anwender aber schon).

Die GApps kann man zwar nachträglich wieder loswerden, ist aber (nicht nur) für Anfänger eher fehleranfällig. - Besser ist es, gleich eine ROM ohne GApps zu flashen.

Wie heißt denn der von dir benutzte Installations-Assistent genau und woher hast du diesen (Web-Link wäre hilfreich)? - Dann könnten wir uns das einmal ansehen ...

 

[dmasu]

Zu "23.9":
Hab mal irgendwo was über "Video abspielen geht nicht" gelesen, habs nicht wiedergefunden, weiß wer wo das war?
Mit GPS stimmt auch was nicht, ich dachte dies wäre gelöst... alerdings weiß ich auch noch nicht ob es was mit Net.Osmand zu tun hat... oder XPrivacy... aber dazu gibt es ja verlinkte Hilfe, ist das noch aktuell?

In okij Bugliste gibts zum Videobug schon einen Workaround.

Das Problem mit dem GPS kann ich nicht nachvollziehen, bzw. habe ich nicht. Dazu gibt es seit langem mehrere Lösungsvorschläge in der Buglist. Ob die noch alle aktuell sind, kann ich nicht sagen. Ich lade mir mit "GPS Status" die LTO-Daten regelmässig runter. Wenn ich dann einen Track nachfahren will, lasse ich zuerst GPS Status laufen bis zum Fix. Danach starte ich OSMAND und die Navigation. Mit der Nightly vom 02.09. alles ohne Probleme.

Wenn er sehr lange für einen Fix benötigt, kann das auch an sehr vielen anderen Dingen liegen (Abschattung, Bewegung usw.). Am Besten im freien unverbauten Gelände an einem unbewölkten Tag und unbewegt testen. Wenn er bei mir lange bis zum Fix brauchte, dann war ich meist bereits losgefahren. Z.T. bin ich noch mal angehalten, habe alles, GPS Status oder OSMAnd und Standort wieder aus und alles wieder von vorne an gemacht. Das Problem hatte ich aber schon Monate nicht mehr.

 

[ooo]

@Pizzapeter

Das von dir beschriebene Verhalten kommt meiner Meinung nach nicht durch AFWall+ oder eine eventuell ausgetauschte bash.

Nach der Installation von XPosed kommt der Fehler, also ist XPosed oder eins der Module "verschnupft". - Lass testhalber mal die neue bash weg. - Evtl. "mag" XPosed lieber die originale bash mit den Sicherheitslücken?

Edit: Und geh vllt. auch mal auf die Suche nach Problemen zwischen AFWall+ und XPrivacy (falls sich die beiden irgendwie ins Gehege kommen).

 

[jandroid]

Dass das mit dem ShellShock Exploit offensichtlich noch nicht das Ende der Fahnenstange war und noch weitere Lücken aufgetaucht sind, ist euch aber bewusst, oder?

ShellShock, Teil 3: Noch drei Sicherheitsprobleme bei der Bash | heise Security

Mir ist allerdings immer noch nicht ganz klar, inwieweit mein Android-Gerät mit CM11 Nightly konkret betroffen und einer Gefahr ausgesetzt ist, wenn ich den Patch nicht einspiele. Auf heise.de steht, dass nur Webserver betroffen sind.

[...] Wer nicht warten kann, muss eine neue Bash-Version mit dem Patch kompilieren. [...] Bevor man sich diese Mühe macht, sollte man allerdings bedenken, dass nach momentanem Wissensstand nur Webserver angegriffen werden.

(Die Aussage in dem heise-Artikel ist nebenbei bemerkt auf Apple-Geräte bezogen.)

Und wie kann ich verstehen, dass Cyanogenmod auf dem eigenen Twitter-Account mitteilt: The default shell is not BASH. ? Haben die in den neuen Versionen jetzt eine andere Shell integriert?

Ich persönlich finde das alles sehr undurchsichtig und wünsche mir ein klares Statement dazu, inwieweit man konkret gefährdet ist.

 

[ooo]

Das ist alles nicht so trivial, dass man es den Leuten mit 2 Sätzen erklären kann, weil für das Verständnis auch sehr viel technisches Wissen die Voraussetzung ist.

Grundsätzlich:

1. Die Standard-Shell unter CM 11 ist nicht bash
2. CM 11 hat aber als Besonderheit zusätzlich die Shell bash mit dabei
3. Dieses Programm (die Binary) ist für alle als ausführbar gekennzeichnet ("X" - eXecution right)
4. Dadurch *kann* das Programm benutzt werden (Von entsprechenden Apps, wie ES File-Explorer, OpenVPN und per Shell-Scripts, evtl. sogar schon DHCP)
5. Das alles bedeutet: Potenzielle Bedrohung (es muss nichts passieren, kann aber)

Eine gute (technische) Zusammenfassung mit Test-Scripts, ob man für eine oder mehrere der Lücken anfällig ist, findet man hier:
DE: https://de.wikipedia.org/wiki/Shellshock_%28Sicherheitsl%C3%BCcke%29
EN: https://en.wikipedia.org/wiki/Shellshock_(software_bug)
(Die englische Quelle ist besser, wegen der Referenzen am Ende der Seite)

Um die eigene bash auf 5 der Lücken zu testen, kann man das hier angehängte Script in einer laufenden bash-Shell "sourcen" (ausführen).
Das Script schreibt dann in das bash-Fenster das Ergebnis.
Das geht so:

• Datei test-shellshock.txt herunterladen und auf die SD Card kopieren (nicht unter Windows editieren/speichern, höchstens mit Notepad++ o. ä.)
• CM Filemanager öffnen
• Datei test-shellshock.txt von der SD Card in das Verzeichnis /data/local/ kopieren
• Terminal App öffnen
• bash eintippen
• . /data/local/test-shellshock.txt eintippen (1 Leerzeichen zwischen "." und "/")
• Ergebnis ablesen (Die Nummern "CVE-nnnn" werden weltweit gültig und eindeutig für jede einzelne Sicherheitslücke vergeben)

[...] Statement dazu, inwieweit man konkret gefährdet ist.

 

[Fight4Music]

Ich hab gute Nachrichten für euch:

Some good news
After 2days and 15+ times reflashing sbf, i finally resized partitions on defy nand! With locked bootloader! All works fine, sdcard not used at all

Quarx hat es durch mehrmaliges flashen von SBF geschafft, die größe der Partitionen auf dem Defy Nand zu ändern.

Das heißt wohl bald nie mehr Slim Gapps

 

[fairdroid]

Hallo @pizzapeter!
Probleme mit xposed hatte ich auch mit meinem N4, aber nach einem doppelten
Neustart war dann wieder alles in Ordnung. Aber gut, vielleicht hast Du das alles
schon probiert und es liegt doch dann beim Defy+ an was anderem ...

 

[Pizzapeter]

@Pizzapeter

Das von dir beschriebene Verhalten kommt meiner Meinung nach nicht durch AFWall+ oder eine eventuell ausgetauschte bash.

Nach der Installation von XPosed kommt der Fehler, also ist XPosed oder eins der Module "verschnupft". - Lass testhalber mal die neue bash weg. - Evtl. "mag" XPosed lieber die originale bash mit den Sicherheitslücken?

Edit: Und geh vllt. auch mal auf die Suche nach Problemen zwischen AFWall+ und XPrivacy (falls sich die beiden irgendwie ins Gehege kommen).

Den verdacht mit XPrivacy hatte ich auch, hat auch nicht richtig gefunzt, das hab ich vor der letzten Neuinstallation schon deinstalliert..... bin dran mit Installieren..
AFWall hat nebenbei das Problem, das es das Datenleck Häkchen nicht gleich behält...
So, fertig... AfWall startet nicht... Neustart, Afwall.. nicht, in beiden Fällen auch nicht versucht zu aktivieren. XPosed installiert/aktualisiert... Neustart. AFWall startet nicht, lässt sich aber aktivieren... Datenleck nicht angehakt... Neustart... AFWAll startet... habe Datenleck angehakt, Neustart... Start Datenleck Fix ist angehakt...

Es funzt, aber die Sicherheitslücke hab ich noch... erstmal was essen

 

[ooo]

Die AFWall+ benötigt bis zu 2 Minuten, bis sich etwas tut (Meldung/Icon).

Andere (Hintergrund-)Programme/-Apps/-Dienste werden vorher geladen, die Netzwerk-Schnittstellen und das Netzwerk werden beim Hochfahren des Phones konfiguriert, evtl. gibt sich die Firewall selbst noch einen Timeout (Warteschleife).

Geduld ...

(Das mit einem wieder fehlenden Haken bei "Datenleck ..." habe ich auch bereits mehrmals bemerkt. - Seltsam ...)

AfWall startet nicht...

 

[Fight4Music]

Klingt ja einfach.. sofern das Feedback positiv ausfällt, wird das Tutorial morgen auch auf Deutsch im Startpost zu finden sein.

Time to upload things....

#include 
/*
[COLOR="Red"][B]* I am not responsible for bricked devices, dead SD cards,
* thermonuclear war, or you getting fired because the alarm app failed. Please
* do some research if you have any concerns about features included in this ROM
* before flashing it! YOU are choosing to make these modifications.[/B][/COLOR]
*/

Be carefull! This is first version and can cause random problems!
This will WIPE your data except sdcard!!!

How to install and resize partitions:
1. You need TWRP recovery.
2. Download all files from http://quarx2k.ru/defy_newlife/ - Soon will work link. Mirror: http://ge.tt/api/1/files/5Ja0etz1/0/blob?download
3. Boot into TWRP
4. Install PrepareZip_1.zip
5. Reboot and enter to TWRP again
6. Install PrepareZip_2.zip
7. Reboot and enter to TWRP again.
8. Install cm11.0-defy-newlife.zip (It's latest cm11 from 23sep with changes for new table)
9. Reboot into OS.

Restore to default table:
SBF + wipe from Stock recovery