Qualcomm erklärt sich zu Android-Sicherheitslücken und QuadRooter
von André Westphal | 12 Kommentare
Gestern hatte Sascha über vier neue Sicherheitslücken an mobilen Endgeräten gebloggt: Betroffen sind konkret Smartphones und Tablets mit Android sowie Chips von Qualcomm. Ursache sind die Treiber des Herstellers. Zwar hat Qualcomm bereits Aktualisierungen veröffentlicht, da man seit einiger Zeit über das Problem Bescheid weiß, es liegt aber an den Herstellern und Mobilfunkanbietern die Updates auszuliefern. Qualcomm erklärt den ganzen Fall nun in einer Stellungnahme nochmals ausführlicher und verweist darauf, dass man entgegen der Berichte von gestern sogar schon für alle vier Verwundbarkeiten Patches bereitgestellt habe.
So hieß es gestern noch, dass erst drei Lücken geschlossen seien und das September-Update dann die vierte Verwundbarkeit ausmerze. Das stimmt wohl auch. Qualcomm wiederum ergänzt aber, dass man gesondert „Patches für alle vier Verwundbarkeiten Kunden , Partnern und der Open-Source-Community zwischen April und Juli“ bereitgestellt habe. Tatsächlich stellt Qualcomm aber auch nur drei Links zu Code Aurora bereit, die ich hier für euch anzähle:
Eins (CVE-2016-5340)
Zwei (CVE-2016-2504, CVE-2016-2503)
Drei (CVE-2016-2059)
Der zweite Link deckt allerdings die beiden Sicherheitslücken CVE-2016-2504 und CVE-2016-2503 ab, so dass es mit den Verwundbarkeiten passen sollte. Veröffentlicht wurden die Patches laut den Angaben bei Code Aurora jeweils am 29. April, 8.Juli und 28. Juli 2016. Dass Qualcomm so flott zu den Sicherheitslücken Stellung bezogen hat, ist lobenswert. Allerdings will der Hersteller sich wohl hauptsächlich nicht den schwarzen Peter zuschieben lassen, da es schon im Mai eine derartige Diskussion gegeben hatte. In der Tat liegt es nun an Qualcomms Partnern die Lücken zu schließen. Kritisieren werden jene aber vermutlich, dass Qualcomm überhaupt erst derartig signifikante Verwundbarkeiten übersehen konnte.
Wird geladen ...
und wie immer bei Android alles für die Katz da es ewigkeiten bis teils Überhaupt niemals nie, diese den Weg auf die Phones finden weil die Hersteller keine Updates Teils mehr liefern.
Ist Nexus 5 ebenfalls betroffen?
Und? Was ist bisher welchem Handy schlimmes passiert, außer im Labor?
Tja, einer der Gründe ausdschließlich rootbare Phones zu kaufen. eine ist auf dem OPO mit CM13 zwar noch offen, aber am Ende muss man ja auch da erstmal ran kommen.
@Wolfgang Denda: Wie kommst du denn zu solch einer starken Annahme? Das kann doch keiner von uns wirklich wissen!
In solchen Fällen gehe ich zumindest davon aus, dass sich schon unzählige Leute mit krimineller Energie und entsprechendem Know-How auf diese Lücken gestürzt haben und es entsprechend auch viele Opfer gibt & noch geben wird.
@Andreas
Weil dieser Artikel unreflektiert Panik verbreitet, und wie eine Wiederholung anderer Abschreiber wirkt. Normal genutzte Geräte haben nichts zu befürchten. Siehe Stagefright, wo ebenfalls ungezählte Millionen Geräte mit ihren älteren Androidversionen ungeschützt bleiben.
Es wird nur Angst, Unsicherheit und Zweifel verbreitet. Mit dem Hintergedanken, kauft euch IOS, da seid ihr sicher!
@Nec teste es doch aus : https://play.google.com/store/apps/details?id=com.checkpoint.quadrooter&hl=de
@Wolfgang:
„Normal genutzte Geräte haben nichts zu befürchten.“
Wieder so ein pauschaler Satz. Woher weißt du, dass ein paar (eventuell auch relativ beliebte) Apps im Play Store nicht auch mit bösem Willen die besprochenen Lücken ausnutzen? Verspricht Google, solche apps nicht zu akzeptieren (hab ich bisher nichts von gehört)? Falls ja, können Sie das überhaupt wirklich leisten?
Bin wirklich interessiert daran zu erfahren, warum du das so siehst. Ich bin nämlich auch kein Freund von Panikmache, aber sehe den Sachverhalt hier nicht übertrieben dargestellt.
@Andreas
Dann lies bitte Quellen, die diese Sache differenziert darstellen und analysieren, statt einen bestimmten anderen Bericht zu replizieren. Und nein, ich suche die nicht für andere Leute heraus.
@Wolfgang: Ok, so kann man eine Diskussion auch im Keim ersticken. Dann halt nicht.
@Andreas
Ich hab hier schon genug Klicks generiert, diskutieren kann man woanders.
@Wolfgang
Ja du mich auch