Nach Stagefright und Certifi-gate: weitere Sicherheitslücke betrifft Android 2.3 – 5.1.1
Sicherheitslücken, wohin man schaut. Apples OS X muss sich gerade mit einem neu veröffentlichten Exploit herumschlagen, aber auch Android kommt nach Stagefright und Certifi-gate nicht zur Ruhe. Wieder ist es die MediaServer-Komponente, die für einen wunden Punkt im Android-System sorgt. Angreifer können über die neue Lücke für ihren Code die gleichen Rechte nutzen, die auch MediaServer hat und somit quasi beliebig im System walten.
Google wurde von Trend Micro, den Entdeckern der Lücke bereits im Vorfeld über die Lücke informiert und diese ist auch bereits im AOSP geschlossen. Das heißt aber natürlich nicht, dass automatisch alle Android-Geräte bereits sicher sind. Hersteller müssen den Fix auch erst einmal an die Nutzer ausliefern, manche entschieden sich mittlerweile für monatliche Sicherheitsupdates.
Betroffen sind in diesem Fall wieder einmal alle Android Versionen von 2.3 bis 5.1.1. Einem Angreifer genügt eine manipulierte App, um die Lücke auszunutzen, er benötigt keinen physikalischen Zugang zum Smartphone oder Tablet. Für den Nutzer ist so ein Angriff nicht leicht zu erkennen, allerdings ist nicht bekannt, dass die Lücke überhaupt bereits ausgenutzt wird.
Die technischen Details zur Sicherheitslücke CVE-2015-3842 findet Ihr im Trend Micro Blog. Sicher ist auch diese Lücke kein Grund, um jetzt in Panik zu verfallen. Man sollte sich nur darüber im Klaren sein, dass jedes System angreifbar ist, absolute Sicherheit gibt es nicht. Daran sollte man allerdings nicht nur denken, wenn wieder einmal ein neues Sicherheitsrisiko durch die Medien geht.
Wird geladen ...
„Angreifer können über die neue Lücke für ihren Code die gleichen Rechte nutzen, die auch MediaServer hat und somit quasi beliebig im System walten.“
In neueren Versionen von Android hat der MediaServer nur sehr beschnitteneRechte.
Die Häufung der Meldungen lassen die Vermutung zu, dass jemand gerade viel Aufwand betreibt um Lücken in Android zu finden und das Vertrauen zu schädigen.
Ist da vielleicht Microsoft beteiligt um mehr Kunden zu Windows zu locken?
Sicher ist auch diese Lücke kein Grund, um jetzt in Panik zu verfallen. Man sollte sich nur darüber im Klaren sein, dass jedes System angreifbar ist, absolute Sicherheit gibt es nicht.
Wenig geistreiches Fazit …
@jruhe
Ich hoffe eigentlich auch, dass der Mediaserver auf seinem Verzeichnis Lesen und Schreiben darf, sonst nichts, aber woher hast du diese Information? Ich habe da auf die Schnelle nichts gefunden.
@Totorito
Alles klar, eine weitere Verschwörung. Diesmal gegen Android. Wahrscheinlich haben Apple und Microsoft seine schlechtesten Programmierer bei Google eingeschleust, um diese ganzen Sicherheitslücken zu provozieren. Und auf dem Mond waren die Amis ja auch nie …
Die Wahrheit ist eher diese: Android ist ein miserables Stück Software, im Grunde immer noch Beta. Völlig dilettantisch programmiert.
Sicherheitsaspekte waren und sind den Machern von Android völlig egal. Den meisten Nutzern auch. Und einige wie @Totorito reden sich dann zur Beruhigung irgendeinen Schwachsinn ein.
@Norbert
welches OS nutzt du ?
@namerp
Android 4.4.4
Aber deshalb muss ich ja nicht blöd sein und mir einreden das wäre alles super.
@Nobert: Warum fallen gerade jetzt mehrere Lücken die seit 2.x drin sind auf? Wenn es doch so ein Murks ist, dann sollte es doch vorher schon aufgefallen sein. Es kann doch nicht sein, dass zufällig jetzt in so kurzer Zeit die Lücken auftauchen. Die Wahrscheinlichkeit ist einfach sehr gering.
MS war auch sehr unerfreut als Google einfach so Windows-Lücken veröffentlicht haben. Das ist Marktwirtschaft, da wird mit allen Mitteln gearbeitet. Windows Phone 10 steht vor der Tür, WP8 war ein totaler Flop. WP muss jetzt ein Erfolg werden und zufällig können Android-Apps auch drauf genutzt werden.
Da passen wirklich einige Zahnräder zusammen.
Totorito hat die Lücke nicht verschwiegen oder klein geredet, er hat nur diese Auffälligkeit kund getan.
@Norbert: Lass mich raten, du hast von Softwareentwicklung keine Ahnung und dich auch noch nie mit den Sicherheitskonzepten von Android auseinander gesetzt? Sonst würdest du nicht so einen Stammtischstuss reden. 😉
Die Wahrheit ist eine andere: Solche Lücken wird es immer geben, bei allen, die Frage ist, wie man damit umgeht. Google ist wesentlich schneller als Apple beim Fixen, aber die Fragmentierung und die Updatepolitik der Hersteller suckt. Wäre schön, wenn sich da gerade wirklich was ändert. Bei Apple gibt es auch in jedem Release eine fette Lücke, aber da jubeln immer alle, weil sie so jailbreaken können.
Mit Ordnerzugriff ist es bei der Lücke übrigens nicht getan, der Mediaserver kann auch Kameras und Mikrophon. 🙁
@2cent
Ich war über 20 Jahre Softwareentwickler …
Leider haben die Android Entwickler NULL Wert auch Security gelegt. Ob die auftretenden Sicherheitsprobleme dann schnell gefixt worden sind oder nicht ist leider ziemlich unwichtig.
Die Updates kommen ja auf kaum einem Gerät an, wegen dieser schwachsinnigen Architektur.
Das ist z.B. bei MS und APPLE völlig anders und weitaus besser, weil da kommen die Updates auch auf sehr vielen Geräten an. Auch Jahre danach noch! Das Problem ist seit Jahren bekannt und Google ändert nichts daran.
Es wäre ja leicht möglich das System zu trennen und z.B. die Herstelleranpassungen als Theme plus Launcher plus Apps oder so zu behandeln. Als Programmierer würden mir da viele Möglichkeiten einfallen.
Dadurch könnten Sie die Patches/Updates trotzdem durchführen und zwar direkt von Google Servern. SOFORT und auf ALLEN Geräten.
Dann wäre zumindest dieses Problem schon gelöst, aber das interessiert Google NULL KOMMA NULL.
@norbert: Recht hast du!
@Norbert
Auf jeden Fall wäre in einem einigermaßen sinnvoll strukturiertem System sicherheitsrelevanter Code von dem herstellerspezifischen Code gut getrennt. Natürlich könnte es dann noch herstellerspezifische Sicherheitsprobleme geben, da ja deren Komponenten häufig auch erweiterte Recht brauchen, die meisten Sicherheitslücken ließen sich aber über die Google-Services patchen, auf jedem Smartphone. Google versucht ja auch schon in diese Richtung zu gehen, aber eben halbherzig, da ihnen die Sicherheit ihrer Nutzer eben doch nicht so wichtig ist. Schade.
@Norbert: In Sachen Trennung System/Herstellerindividualisierungen sind wir uns einig. Du verkennst zwar meiner Meinung nach, woher das rührt, aber das ist definitiv etwas, das sich ändern muss.
Du schreibst du *warst* 20 Jahre Softwareentwickler. Und es kommt mir auch so vor, als ob du da aus einer anderen Zeit kommst. Wie du zu der Aussage kommst, dass „die Android Entwickler NULL Wert auch Security gelegt“ hätten, ist mir schleierhaft. Von dem, was im Androidcode an Mitigation abgeht, hast du scheinbar keinen Schimmer.
Trotzdem bin ich mir sicher, dass man auch was findet, wenn man sich deinen Code ansieht, einfach was sich das nicht komplett vermeiden lässt, bei keinem. Und dann muss man da halt zügig nachbessern. Dazu gehört auch, dass man dafür sorgt, dass die Updates auch ankommen, richtig. Da Android mittlerweile groß genug ist und auch das Problembewusstsein durch die Lücken in letzter Zeit steigt, ändert sich da jetzt hoffentlich was.
Wie wäre es, wenn du deine Macht als Verbraucher nutzt, und nur Geräte kaufst, die wenig Herstellermodifikationen haben und Updates bekommen? Motorola scheint das doch ganz gut zu machen. Oder wenn du technikaffiner bist: Ein Modell mit offenem Bootloader und dann zum Beispiel CyanogenMod.
Es sind ja jetzt auch von mehreren Herstellern monatliche Updates angekündigt worden, was auf ein gewisses Problembewusstsein und vor allem Druck hinweist, das könnte ein Umbruch sein. Hoffen wirs.
Dass Android an sich sich nicht um Sicherheit scheren würde, ist jedenfalls Blödsinn. Sowas darfst du Apple vorwerfen, die ungefähr die langsamsten sind, was das Patchen angeht.
@2cent
Ich habe bereits etwa 10 Android Smartphones bzw. Tablets gehabt und nur sehr selten ein Update oder einen Patch bekommen. Auch bei Nexus Geräten ist ja schnell Schluss mit Updates.
Und wenn ein Update kam, war es oft ein Desaster und ich konnte froh sein wenn das Teil noch lief.
Ich habe von Fakten gesprochen nicht von Ankündigungen. Und von der Realität, nicht von der eventuell glorreichen Zukunft.
Und mit Cyanogen oder sonstwas rumzufummeln, da habe ich weder Lust noch Zeit zu, wie die allermeisten anderen User auch.
Du sagst: „…ändert sich da jetzt hoffentlich was.“ und “ ..monatliche Updates angekündigt worden“ und „das könnte ein Umbruch sein. Hoffen wirs.“.
Merkst du was? Du gibst mir im Grunde recht.
Du konterst mit „könnte, hoffentlich, angekündigt“ etc etc. Du hoffst also auch das es mal besser wird.
Ein später Apple Patch -der aber auf den Geräten auch ankommt- ist immer noch besser als ein Android Patch der nur in der Theorie da ist – und NIEMALS ankommt bei den allermeisten Geräten (+80-90%).
Android ist einfach schlecht beim Thema Security aufgestellt, jedenfalls im Vergleich zu den Mitbewerbern. Das betrifft auch Berechtigungen und vieles mehr.
Was auch immer die in Zukunft verbessern werden, aktuell ist es immer noch großer Mist.
@Norbert: Du sprachst auch davon, dass dass Android an sich von der Sicherheit mist wäre, von Softwarearchitekturseite. Und das ist Blödsinn.
Dein Kritikpunkt ist berechtigt, aber denk doch mal drüber nach, woran das liegt. Wieso die Fragmentierung? Ich kau dir das jetzt mal nicht vor.
Bzgl. Nexus kannst du eigentlich nur von Galaxy Nexus sprechen. Die Schuld würde ich mal bei treibertechnisch Samsung verorten. 😉
Und Apple: Es gibt mit JEDER Version eine nicht gefixte Jailbreaklücke, oder?
Nexus 7 war nach Update unbrauchbarer Schrott. Und zwischendurch war mal der Dezember weg bei einem Update, dann die Sprache. Dann konnte man nicht mehr auf SD Karten speichern. etc etc
„Du sprachst auch davon, dass dass Android an sich von der Sicherheit mist wäre, von Softwarearchitekturseite. Und das ist Blödsinn.“
Wenn die Android sinnvoll aufgebaut hätten, dann hätten Sie auch trotzdem keine großen Probleme mit der Fragmentierung.
PCs unterscheiden sich auch massiv, da gibt es Unterschiede bei installierter Hardware, Firmware, Treiber und Software.
Im Grunde ist jeder PC ein Unikat. Trotzdem kann MS updaten, zusätzliche Features und Securitypatches rüberschicken. Und das machen die ständig. Bei W7 hatte ich damit NIE ein Problem bis heute.
Das könnte bei Android genauso gehen, wenn die nachgedacht hätten bzw wenn die Sicherheit ernst nehmen würden.
Es ging bei Android nur darum möglichst schnell und billig das Ding rauszubringen. Scheiss auf Sicherheit, Nachhaltigkeit und letzendlich Scheiss auf die Kunden.
@Norbert: Ich denke dir fehlt hier die Unterscheidung Hersteller und Google. Und auch die Entwicklung PC vs. Smartphone und die Interessen der Hersteller sind ganz andere.