Thema: Android: Nächste schwere Sicherheitslücke entdeckt

Android: Nächste schwere Sicherheitslücke entdeckt

13.08.2015, 10:16 Uhr, buhl
Während die Stagefright-Lücke immer noch nicht geschlossen ist, tut sich bei Googles Betriebssystem bereits die nächste Schwachstelle auf. Die von IBM-Forschern entdeckte Sicherheitslücke bedroht dabei die Hälfte aller Android-Geräte.

Für alle Smartphone- und Tablet-Besitzer mit dem Android-Betriebssystem hagelt es in diesem Sommer eine Hiobsbotschaft nach der anderen. Während mit Stagefright eine Sicherheitslücke zwar erkannt aber lange noch nicht geschlossen ist, tut sich bereits die nächste Lücke auf. Wie Forscher des IT- und Beratungsunternehmen IBM herausfanden, können Angreifer mit Hilfe einer präparierten App über diese Schwachstelle die Kontrolle über das komplette Smartphone übernehmen.
Betroffen sind dabei alle Versionen von 4.3 bis 5.1 inklusive der Android M-Preview und damit über die Hälfte aller Android-Mobilgeräte. Die Lücke ermöglicht es den Angreifern, Apps auszutauschen oder zu beeinflussen und mit dessen Berechtigung beliebige Codes auszuführen. Den Forschern gelang es sogar den Kernel, den zentralen Bestandteil des Betriebssystems, anzugreifen und dessen Einschränkungen aufzuheben.

Eine gute Nachricht gibt es für Android-Besitzer jedoch: Google hat die Lücke bereits geschlossen und einen Patch an die Hersteller verschickt. Angesichts der langsamen Verteilung von Sicherheitsupdates bei Google ist einzig die Frage offen, ob und wie schnell der Patch an die Kunden ausgeliefert wird. Im Zuge der Stagefright-Lücke hatte das Internetunternehmen bereits Besserung und eine monatliche Lieferung von Updates versprochen.

Allerdings nutzen bereits die ersten Cyber-Verbrecher diese Ankündigung aus, um Schadsoftware auf den Smartphones zu platzieren. Getarnt als vermeintliches Google-Sicherheitsupdate wird über einen Link in einer E-Mail ein Trojaner aktiviert, der den Angreifern Zugriff auf das Smartphone erlaubt.

Quelle: Digitalfernsehen

Android ist immer noch sicherer als Windows10. Ein Schweizer Käse ist dagegen gar nichts.

Was an dem Gedöns sicher sein soll, erschließt sich mir nicht. Außer Google selber sind die Hersteller ultra-lahm mit den Sicherheitsupdates, wenn sie überhaupt ihren Ar*** hoch kriegen. Nach zwei Jahren kennen die nicht mal mehr ihre alten Top-Modelle!

Die Stagefright-Lücke ist ein Traum für jeden Angreifer. Damit kann man per MMS ein Telefon aufreißen und in eine Wanze verwandeln. Es ist hervorragend geeignet, um ganz gezielt jemanden aufs Korn zu nehmen. Besser geht es einfach nicht! Sowas wäre als geheimer 0Day eine sechsstellige Summe wert gewesen.

Solchen Klimperkram nennst du sicher?

Für so einen pauschalen Satz braucht man keine Quellen. Das ist offensichtlich eine persönliche Meinung.

In beiden Systemen stecken Fehler. Was man davon als "sicherer" auffasst grenzt bereits an Religion.

Es werden auch nicht mehr alle Fehler an die Hersteller gemeldet. Der Fall "Hacking Team" sollte auch dem Letzten klar gemacht haben, dass es dafür einen lukrativen Markt gibt.

Die Stagefright-Lücke ist allerdings für fast alle ein 0Day, weil die Hersteller nicht aus dem Ar*** kommen. Aus diesem Grund würde ich kein Android-Telefon mit einem ROM-Image vom Hersteller auch nur mit der Kneifzange anfassen.

Wenn überhaupt, dann müsste der ungewartete Mist erst durch ein CyanogenMod oder Co ersetzt werden.

Windows 10 hebelt eigene Sicherheitseinstellungen aus!

Wenn man sich Nightlies ohne diesen Googlekram installiert, ist man auf der sicheren Seite. Wenn ich in ein System will, schaffe ich das auch. Als Ottonormal-User ist man da natürlich etwas gea.....gebe ich ja zu. Der Trend geht in die googlefreie Richtung, denn da kommen die genannten Sicherheitslücken ja her.

Ich kenne kein 100% sicheres System.

Was Windows allerdings mit seiner aktuellen Version abzieht...schon Hardcore.

Rechner auf denen das System schon läuft, werden als Uploadergänzung genutzt.

Erinnert mich an emule.

"Cortana und Bing übergehen Privatspäreeinstellungen. Beide Dienste senden im Hintergrund Daten an Microsoft. Die Kommunikation bleibt auch dann bestehen, wenn Nutzer die Suchmaschine und den Sprachassistenten abschalten. Teile der Daten überträgt Microsoft sogar unverschlüsselt."

Die Stagefright-Lücke hat Goggle aber recht flott geschlossen. Das die Hersteller da nun nicht nach kommen kann man kaum Goggle anlasten. Für jedes Nexus Gerät steht eine Software bereit die diese Lücke schließt.

Der Trend geht in die Google freie Richtung, ja ist klar vielleicht in der Nerd Szene aber im Mainstream wohl kaum. Otto Normal Verbraucher kauft ein Handy und findet da dann kein Google Maps, Google Mail usw.... Da wäre das Geschrei groß.

Außerdem klar wird Android angegriffen, es ist das System was mit Abstand am Meisten Marktanteil hat. Ich hasse es wenn man immer so tut als wenn Google schlecht und CM so toll wäre, ohne Google gäbe es CM gar nicht aber daran denkt keiner. Wäre CM nicht bloß eine Randerscheinung sondern wirklich weit verbreitet, dann würde man auch da Sicherheitslücken finden. Aber so lohnt es halt nicht.

Zitat von dgmx

Die Stagefright-Lücke hat Goggle aber recht flott geschlossen. Das die Hersteller da nun nicht nach kommen kann man kaum Goggle anlasten.

Das ist für die Kunden aber sch*** egal. Letztendlich kann man nur ein Google-Fon kaufen oder CM über die anderen Klimperkisten bügeln.

Zitat von dgmx

Ich hasse es wenn man immer so tut als wenn Google schlecht und CM so toll wäre

Ok, ich hätte die Google-Fons als Ausnahme erwähnen sollen. Den ganzen Rest - also nach Marktanteil fast alle - kannst du in der Pfeife rauchen.

Ich kann auch einfach dich in der Pfeife rauchen

cm hat garantiert auch seine sicherheitslücken nur lohnt es sich nicht die zu suchen da das System eine Randerscheinung ist und bei Otto Normalverbraucher eh nie ankommt.