daywalker1911
Enthusiast
- 1.039
Fast jeder hersteller bringt patche raus die kein sinn erfüllen..aber mir egal..es beruhigt mich trotzdem irgendwie.
P30 Pro P30 Pro - Allgemeiner Plauderthread rund um Updates
- 2.200 Antworten
- Letztes Antwortdatum
okadererste
Ikone
- 5.058
Wie gefährlich sind die Lücken?
Quelle Computerbild
Android: Welche Smartphones erhalten keine Updates mehr?
Wie gefährlich sind die Lücken?
Laut dem Krypto-Experten Karsten Nohl vom SRL sind einzelne vergessene Android-Patches für die meisten Nutzer kein Grund zur Sorge. Hacker fokussieren sich heute noch lieber auf Windows-PCs, wo Patches übrigens deutlich flotter landen. Trotzdem sei die Gefahr unter Windows größer, weil dort Hacks schlicht einfacher sind. Nohl sieht das größte Risiko im Nutzer, der bedenkenlos Apps aus unseriösen Quellen installiert und ihnen großzügig Rechte einräumt. Wer unseriösen Apps erlaubt, Daten zu verschlüsseln, SMS zu lesen oder SMS zu verschicken, fängt sich damit unter Umständen Ransomware oder Banking-Malware ein. Laut Nohl sei es nur eine Frage der Zeit, bis Android ein attraktives Hacking-Ziel darstellt.
Laut dem Krypto-Experten Karsten Nohl vom SRL sind einzelne vergessene Android-Patches für die meisten Nutzer kein Grund zur Sorge. Hacker fokussieren sich heute noch lieber auf Windows-PCs, wo Patches übrigens deutlich flotter landen. Trotzdem sei die Gefahr unter Windows größer, weil dort Hacks schlicht einfacher sind. Nohl sieht das größte Risiko im Nutzer, der bedenkenlos Apps aus unseriösen Quellen installiert und ihnen großzügig Rechte einräumt. Wer unseriösen Apps erlaubt, Daten zu verschlüsseln, SMS zu lesen oder SMS zu verschicken, fängt sich damit unter Umständen Ransomware oder Banking-Malware ein. Laut Nohl sei es nur eine Frage der Zeit, bis Android ein attraktives Hacking-Ziel darstellt.
Quelle Computerbild
Android: Welche Smartphones erhalten keine Updates mehr?
Rawer
Enthusiast
- 694
Wer hatte eigentlich schon mal irgendeinen Wurm, Virus auf seinem Gerät? Ich frage deshalb, weil manche der hier Fragenden geradezu eine panische Angst um ihre Daten haben. (Die ohnehin schon von allen Google, Facebooks, NSA, BND.... eingesehen werden).
S
Sonic-2k-
Enthusiast
- 3.664
@Rawer
Einen guten Virus oder Trojaner bemerkt man gar nicht. Weiter geht es auch im spyware.
Ziehst dich im Winter wärmer an um die gar nicht erst zu erkälten. Es gab in der Vergangenheit genug Lücken bei Android, weshalb vieles für die Patche spricht.
Einen guten Virus oder Trojaner bemerkt man gar nicht. Weiter geht es auch im spyware.
Ziehst dich im Winter wärmer an um die gar nicht erst zu erkälten. Es gab in der Vergangenheit genug Lücken bei Android, weshalb vieles für die Patche spricht.
allthepugs
Dauer-User
- 1.406
Die Zeiten, in denen Euch ein "Virus" das System lahmlegt, sind doch längstens vorbei. Clevere Malware will heutzutage Eure Daten - entweder Bank- und Identitätsdaten für Scams oder für den Weiterverkauf im Darknet, oder Metadaten wie Bewegungsprofile und Nutzungsverhalten, um das gewinnbringend an die Werbewirtschaft zu bringen ;-)
Niemand hat was davon, Dein Handy durch Schadsoftware lahmzulegen. Aber so ne waschechte Identität, volle Adresse, Geburtsdatum und Jahr, mit Glück auch ne Ausweiskopie, plus Kreditkartennummer.. das ist schon was wert in bestimmten Kreisen. Bis Du merkst, daß jemand Deine Daten nutzt, ist Deine Karte bis ans Limit belastet und Du darfst Dich dann im schlechtesten Fall Jahrelang mit Gläubigern rumschlagen, die Dir nicht glauben, daß Du nicht der Besteller warst. Nett. Und viel Spaß bei dem Versuch, rauszufinden, wie die Daten abgefischt wurden. Das ist nahezu unmöglich. Der PlayStore wirft regelmäßig Apps raus, bei denen Backdoors und ähnliche Prinzipien gefunden wurden - interessant ist aber, daß es diese Apps überhaupt in den PlayStore geschafft haben. Wer also denkt, sowas erwischt nur Leute ohne "Brain.exe", dann lieber letztere nochmal anwerfen....
Niemand hat was davon, Dein Handy durch Schadsoftware lahmzulegen. Aber so ne waschechte Identität, volle Adresse, Geburtsdatum und Jahr, mit Glück auch ne Ausweiskopie, plus Kreditkartennummer.. das ist schon was wert in bestimmten Kreisen. Bis Du merkst, daß jemand Deine Daten nutzt, ist Deine Karte bis ans Limit belastet und Du darfst Dich dann im schlechtesten Fall Jahrelang mit Gläubigern rumschlagen, die Dir nicht glauben, daß Du nicht der Besteller warst. Nett. Und viel Spaß bei dem Versuch, rauszufinden, wie die Daten abgefischt wurden. Das ist nahezu unmöglich. Der PlayStore wirft regelmäßig Apps raus, bei denen Backdoors und ähnliche Prinzipien gefunden wurden - interessant ist aber, daß es diese Apps überhaupt in den PlayStore geschafft haben. Wer also denkt, sowas erwischt nur Leute ohne "Brain.exe", dann lieber letztere nochmal anwerfen....
Rawer
Enthusiast
- 694
Das beantwortet alles meine Frage nicht. Also, weshalb das Theater und die Aufregung?
S
Sanguis
Fortgeschrittenes Mitglied
- 103
allthepugs schrieb:
Genau das ist das Problem. Die Apps.
Es ist völlig egal wann ein Sicherheitspatch für Android kommt. Es kann wöchentlich sein oder täglich. Das schützt null vor Malware Apps.
allthepugs
Dauer-User
- 1.406
Kommt eben drauf an, welche Lücke genutzt wird. Normalerweise werden Sicherheitslücken erst nach der Verteilung eines Fixes öffentlich publiziert. Die Frage ist eben, welche Lücken derzeit offen sind und in wie fern sie ausgenutzt werden. Kann man natürlich nicht wissen, dennoch ist es definitiv nicht so, daß Sicherheitspatches unsinnig sind. Erst letztens wurde eine Lücke in Safari öffentlich, die umfassendes Usertracking trotz bzw. gerade wegen der Do-Not-Track-Einstellung ermöglicht hat. Davon geht die Welt nicht unter, aber schön ist es trotzdem nicht. Apple ist meistens recht fix bei sowas, aber wäre das jetzt Google passiert und 3rd Parties bräuchten Monate, um es an die eigenen Systeme anzupassen - unschön.
Rawer
Enthusiast
- 694
Hmmm, keine Antwort ist auch ne Antwort. Offensichtlich gibt es keine Betroffenen, aber darüber lässts sich trefflich diskutieren.Rawer schrieb:
allthepugs
Dauer-User
- 1.406
Ernsthaft? Wie möchtest Du denn jetzt den Nachweis erbringen, ob Du betroffen bist oder nicht? Ist doch das selbe wie moderne Malware für Windows.... Wenn Du nicht ganz speziell danach suchst und weißt, wo und wie Du schauen musst, wirst Du nie merken, daß Dein Hausfrauen-PC zuhause in Offzeiten Cryptomining für jemand anderes betreibt. Das gleiche in grün bei Apps mit Backdoors und Identitätsphishing.
Ich bau eine App, die im Vordergrund Hundenasen auf Deine Selfies klebt und Du gibst ihr dafür die Berechtigung, auf Deine Fotobibliothek zuzugreifen. Ich, schlau wie ich bin, lass mir aber im Hintergrund Deine Fotos auf den Server schieben und erpress' Dich dann mit den Fotos, auf denen Du nix an hast. Deine Mailadresse hab ich ja auch, denn Du hast gutgläubig Deinen Account in meiner App mit Deiner GoogleID angelegt. Wirst Du aber auch nie erfahren, denn ich werd' Dir als Entwickler der App natürlich nicht auf die Nase binden, daß diese kostenfreie lustige Hundenasen-Selfie-App etwas mit der Erpresser-Mail zu tun hat, die Du irgendwann bekommst. Merkste selber, ne?
Die Masche mit dem Zugriff auf die Fotobibliothek ist übrigens keine Erfindung, das hat bis vor 1-2 Jahren tatsächlich geklappt auf Android.
Musst die Changelogs der letzten Jahre mal aufmerksam lesen, das merkst Du, daß da schon die ein oder andere sehr interessante Lücke geschlossen wurde. Wie wichtig Dir persönlich das jetzt ist, musst Du selbst entscheiden, aber bitte nicht so tun, als würde Malware nur "Deppen" betrifft, die auf jeden Link klicken. Wenn man es drauf anlegt, kann man eigentlich so gut wie jedem ein entsprechendes Exploit unterschieben. Ist eben nur eine Frage des Aufwands und des Nutzens.
Ich bau eine App, die im Vordergrund Hundenasen auf Deine Selfies klebt und Du gibst ihr dafür die Berechtigung, auf Deine Fotobibliothek zuzugreifen. Ich, schlau wie ich bin, lass mir aber im Hintergrund Deine Fotos auf den Server schieben und erpress' Dich dann mit den Fotos, auf denen Du nix an hast. Deine Mailadresse hab ich ja auch, denn Du hast gutgläubig Deinen Account in meiner App mit Deiner GoogleID angelegt. Wirst Du aber auch nie erfahren, denn ich werd' Dir als Entwickler der App natürlich nicht auf die Nase binden, daß diese kostenfreie lustige Hundenasen-Selfie-App etwas mit der Erpresser-Mail zu tun hat, die Du irgendwann bekommst. Merkste selber, ne?
Die Masche mit dem Zugriff auf die Fotobibliothek ist übrigens keine Erfindung, das hat bis vor 1-2 Jahren tatsächlich geklappt auf Android.
Musst die Changelogs der letzten Jahre mal aufmerksam lesen, das merkst Du, daß da schon die ein oder andere sehr interessante Lücke geschlossen wurde. Wie wichtig Dir persönlich das jetzt ist, musst Du selbst entscheiden, aber bitte nicht so tun, als würde Malware nur "Deppen" betrifft, die auf jeden Link klicken. Wenn man es drauf anlegt, kann man eigentlich so gut wie jedem ein entsprechendes Exploit unterschieben. Ist eben nur eine Frage des Aufwands und des Nutzens.
S
Sanguis
Fortgeschrittenes Mitglied
- 103
Das kann eine App heute wie damals.
Das können Android Sicherheitspatches nicht verhindern.
Das können Android Sicherheitspatches nicht verhindern.
Rawer
Enthusiast
- 694
naja, vielleicht ist ihm das passiert. Oder träumt er nur?
allthepugs
Dauer-User
- 1.406
Sanguis schrieb:
Wie gesagt: Es kommt eben darauf an, wie und was genutzt wird. Und wenn es beispielsweise darum geht, die Abfrage von Berechtigungen in einigen Situationen auszuhebeln, dann kann sowas sehr wohl mittels Sicherheitspatch behoben werden.
Rawer schrieb:
Nein, mir ist das nicht passiert. Aber ich hatte auch noch nie einen Verkehrsunfall ohne Sicherheitsgurt, hatte noch nie eine Fischvergiftung und es wurde auch noch nie bei mir eingebrochen. Dennoch behaupte ich nicht, nur weil mir das noch nie passiert ist, sei Anschnallen oder Abschließen unnötig. Frag doch mal beim BKA, wieviele Fälle von Identitätsdiebstahl oder Cyber-Erpressung sie so auf dem Tisch haben. Die Antwort lautet sicher nicht "null". Und wenn wir schon dabei sind, sprich mich doch bitte nicht mit "er" an.
S
Sanguis
Fortgeschrittenes Mitglied
- 103
Sichert das BKA monatlich Deine Wohnung? Sorgt monatlich dafür das Du die neuste Sicherheitstechnik hast?
allthepugs
Dauer-User
- 1.406
Hat die Frage etwas mit dem Kernthema zu tun? Es bezog sich auf die Aussage, daß hier angeblich niemand selbst betroffen ist, bzw. keine Betroffenen kennt, ergo kann das Risiko ja nicht groß sein. Das steht auf der selben Stufe wie "bei mir wurde noch nie eingebrochen, also kann das Risiko ja nicht besonders groß sein".
S
Sanguis
Fortgeschrittenes Mitglied
- 103
Was stimmt. Das Risiko ist so oder so immer da. Ende der 80er wurde das Haus meiner Eltern mit Elektronik der Polizei gesichert. Wie alle Häuser in der Gegend. Der Status wurde regelmäßig überprüft. Es wurde zu der Zeit oft in der Gegend eingebrochen. Ging ca. ein halbes Jahr.
Ein Aufwand den es danach nie wieder gab. Einbrüche in der Gegend auch nicht.
Also warum sollte Huawei/Android monatlich ein Sicherheitsupdate bringen, auch in den Monaten in denen nichts anliegt? Außer damit das Gequengel mancher aufhört.
Ein Aufwand den es danach nie wieder gab. Einbrüche in der Gegend auch nicht.
Also warum sollte Huawei/Android monatlich ein Sicherheitsupdate bringen, auch in den Monaten in denen nichts anliegt? Außer damit das Gequengel mancher aufhört.
allthepugs
Dauer-User
- 1.406
Versteh' mich nicht falsch, aber könnte der Grund, warum es danach keine Einbrüche mehr gab, nicht vielleicht die verbesserte Sicherheit gewesen sein ;-)
Wer bricht denn auch wo ein, wenn man weiß, daß in diesem Gebiet nun die Sicherheit erhöht wurde und die Bürger alarmiert sind?
Aber auch hier die Gegenfrage: Woher weißt Du denn, daß "nichts" anliegt? Die Patches dienen ja nicht ausschließlich "nur" der Sicherheit, sondern es sind auch viele kleine Korrekturen (Fixes) und Änderungen enthalten. Es ist nicht so, daß es 1x im Jahr eine neue Android-Version gibt und dazwischen passiert nix.
Viele Lücken werden gestopft, bevor überhaupt klar wird, daß sie als Lücke dienen können, und genau das ist ja der Sinn dahinter.
Schließlich ist Android auch nichts anderes als ein Betriebssystem. Das stellt Schnittstellen, Befehlssätze, Frameworks etc. für Anwendungen dar, die darauf laufen sollen. Letztendlich besteht eine App dann auch nicht aus viel mehr als diesen Dingen. Und wenn beispielsweise eine fehlerhafte Fließkommastellenberechnung dazu führt, daß eine Abfrage regelwidrig beendet wird und ein fehlerhaftes Return zurückgibt, kann sowas beispielsweise schlechtestenfalls dazu genutzt werden, einer Berechtigungsabfrage eine falsche Antwort vorzugaukeln und Zugriff auf Bereiche ermöglichen, in denen eine App nichts zu suchen hat.
Und genau hier muss dann ein Sicherheitspatch her, der verhindert, daß eine App so einen Fehler für ihre Zwecke ausnutzt. Das ist eigentlich auch schon alles
Wer bricht denn auch wo ein, wenn man weiß, daß in diesem Gebiet nun die Sicherheit erhöht wurde und die Bürger alarmiert sind?
Aber auch hier die Gegenfrage: Woher weißt Du denn, daß "nichts" anliegt? Die Patches dienen ja nicht ausschließlich "nur" der Sicherheit, sondern es sind auch viele kleine Korrekturen (Fixes) und Änderungen enthalten. Es ist nicht so, daß es 1x im Jahr eine neue Android-Version gibt und dazwischen passiert nix.
Viele Lücken werden gestopft, bevor überhaupt klar wird, daß sie als Lücke dienen können, und genau das ist ja der Sinn dahinter.
Schließlich ist Android auch nichts anderes als ein Betriebssystem. Das stellt Schnittstellen, Befehlssätze, Frameworks etc. für Anwendungen dar, die darauf laufen sollen. Letztendlich besteht eine App dann auch nicht aus viel mehr als diesen Dingen. Und wenn beispielsweise eine fehlerhafte Fließkommastellenberechnung dazu führt, daß eine Abfrage regelwidrig beendet wird und ein fehlerhaftes Return zurückgibt, kann sowas beispielsweise schlechtestenfalls dazu genutzt werden, einer Berechtigungsabfrage eine falsche Antwort vorzugaukeln und Zugriff auf Bereiche ermöglichen, in denen eine App nichts zu suchen hat.
Und genau hier muss dann ein Sicherheitspatch her, der verhindert, daß eine App so einen Fehler für ihre Zwecke ausnutzt. Das ist eigentlich auch schon alles
S
Sanguis
Fortgeschrittenes Mitglied
- 103
Nein. Die Einbrüche hörten auf weil die Bande gefasst wurde. Die Lücke wurde sozusagen geschlossen.
Android ist kein Betriebssystem. Es ist ein Aufsatz, ein Mod. Das Betriebssystem ist Linux.
Ich weiß wofür die Patches sind. So wie ich weiß das in vielen nur Müll ist um sie aufzublähen. Hier noch mal mein Rat, decompilier sie und guck nach.
Ich weiß nicht wann was anliegt. Weißt Du es?
Google weiß es und reagiert meist zeitnah, wenn es wirklich nötig ist. Huawei ebenso (wenn sie ruhe vor Trump haben). So what?
Android ist kein Betriebssystem. Es ist ein Aufsatz, ein Mod. Das Betriebssystem ist Linux.
Ich weiß wofür die Patches sind. So wie ich weiß das in vielen nur Müll ist um sie aufzublähen. Hier noch mal mein Rat, decompilier sie und guck nach.
Ich weiß nicht wann was anliegt. Weißt Du es?
Google weiß es und reagiert meist zeitnah, wenn es wirklich nötig ist. Huawei ebenso (wenn sie ruhe vor Trump haben). So what?
S
Sonic-2k-
Enthusiast
- 3.664
@Sanguis
Das ist doch das beste Beispiel von dir mit den Einbrüchen. Wäre die Gegend von Anfang an besser gesichert gewesen, wären die Einbrüche vielleicht gar nicht passiert und genau so ist es bei den Sicherheitspatches. Die verhindern nicht unbedingt jeden unbefugten Zugriff, aber zumindestens die bekannten Lücken werden geschlossen.
Noch immer Frage ich mich, wie man gegen regelmäßige Sicherheitsupdates sein kann, wenn diese am Ende nur Vorteile bringen und keine Nachteile.
Das ist doch das beste Beispiel von dir mit den Einbrüchen. Wäre die Gegend von Anfang an besser gesichert gewesen, wären die Einbrüche vielleicht gar nicht passiert und genau so ist es bei den Sicherheitspatches. Die verhindern nicht unbedingt jeden unbefugten Zugriff, aber zumindestens die bekannten Lücken werden geschlossen.
Noch immer Frage ich mich, wie man gegen regelmäßige Sicherheitsupdates sein kann, wenn diese am Ende nur Vorteile bringen und keine Nachteile.
allthepugs
Dauer-User
- 1.406
Ah, dann hat der Sicherheitspatch ja dafür gesorgt, daß die Bande gefasst wurde. Zweck voll erfüllt, würde ich sagen ;-)
Ich will Dir echt nicht zu nahe treten, aber ich bezweifle, daß Du beim Dekompilieren einen genauen Eindruck davon bekommst, was nötig ist und was nicht - es sei denn Du sitzt bei Google im Dev Team und ich bin mal dreist genug, zu behaupten, dass das unwahrscheinlich ist ;-)
Und Android ist genauso ein Betriebssystem wie macOS, egal ob Linux/Unix-basis/-derivat oder Döschen - macht hinsichtlich der Aussage meines Beitrages keinen Unterschied.
Richtig, Google reagiert und gibt zeitnah Patches raus. Und es ist keine übertriebene Erwartung, von weiteren Herstellern zu verlangen, diese zeitnah anzupassen. Du kannst selber entscheiden, was bei Dir als "zeitnah" gilt, aber ich hab' keine Lust auf ein Gerät, das mehr als 3 Monate mit Patches hinterher ist. Wenn Dir das nicht wichtig ist, ist es Deine Entscheidung, aber wenn jemand da drauf wert legt, ist das genauso legitim.
Ich will Dir echt nicht zu nahe treten, aber ich bezweifle, daß Du beim Dekompilieren einen genauen Eindruck davon bekommst, was nötig ist und was nicht - es sei denn Du sitzt bei Google im Dev Team und ich bin mal dreist genug, zu behaupten, dass das unwahrscheinlich ist ;-)
Und Android ist genauso ein Betriebssystem wie macOS, egal ob Linux/Unix-basis/-derivat oder Döschen - macht hinsichtlich der Aussage meines Beitrages keinen Unterschied.
Richtig, Google reagiert und gibt zeitnah Patches raus. Und es ist keine übertriebene Erwartung, von weiteren Herstellern zu verlangen, diese zeitnah anzupassen. Du kannst selber entscheiden, was bei Dir als "zeitnah" gilt, aber ich hab' keine Lust auf ein Gerät, das mehr als 3 Monate mit Patches hinterher ist. Wenn Dir das nicht wichtig ist, ist es Deine Entscheidung, aber wenn jemand da drauf wert legt, ist das genauso legitim.
Ähnliche Themen
- androidman2016
androidman2016
