Thanks Thanks:  4
Likes Likes:  0
Dislikes Dislikes:  0
Ergebnis 1 bis 6 von 6
  1. Top | #1
    Foren-Lobbyist Avatar von paulelmar
    Registriert seit
    16.11.2009
    Beiträge
    2.045
    BB Pin
    BBBPaule
    Modell
    KEYone All Black / Passport SE
    Firmware
    Android 8.1.0 / 10.3.3.2137
    Anbindung
    BIS/BCN
    Likes bekommen
    17
    Likes gegeben
    5
    Post Thanks / Like

    Sicherheits-Patch: Ein Etikettenschwindel?



    Hallo Community!

    Android und Sicherheit. Wirft man diese beiden Begriffe der Community vor die Füße, ist lauter Aufschrei vorprogrammiert. Dennoch werden auch die vehementesten Kritiker des Betriebssystems zumindest bestätigen müssen, dass Android in den letzten Monaten und Jahren eine Reihe von Maßnahmen zur stärkeren Absicherung des Betriebssystems ergriffen hat. Dazu zählen u. a. auch die regelmäßigen Sicherheitspatches oder auch das Project Treble, das allerdings erst mit Oreo kommt.

    Höre ich hier den nächsten Aufschrei? Regelmäßige und pünktliche Sicherheitspatches? Das Problem lag und liegt hier ja auch nicht nur bei Android, in den meisten Fällen waren/sind die Smartphone-Hersteller dafür verantwortlich.

    Die deutsche Firma Security Research Labs (SRL) hat sich einmal die Sicherheits-Updates auf insgesamt über 1.200 Smartphones von rund einem Dutzend Anbieter (von Google über Samsung, Motorola bis zu ZTE und TCL) angeschaut und Erschreckendes dabei festgestellt: Nicht nur, dass viele Anbieter von Android-Smartphones ihren Benutzern keine Patches zur Verfügung stellen oder ihre Veröffentlichung um Monate verzögern. Manchmal belügen sie ihre Benutzer, in dem sie zwar einen aktuellen Stand vorgaukeln, aber heimlich Patches übersprungen haben. Damit wiegen Sie ihre Nutzer in einer Scheinsicherheit, was laut Karsten Nohl, Inhaber von SRL, schlimmer sei, als generell fehlende Patches (dies ist jedoch zumindest diskussionsbedürftig).

    Es gibt jedoch nicht nur zwischen den einzelnen Herstellern signifikante Unterschiede, auch zwischen unterschiedlichen Jahresversionen ein und desselben Gerätes kann es zu Abweichungen kommen. So ist auf dem Samsung J5 (2016) der Patch-Stand (inkl. fehlender Patches) korrekt angegeben, während beim J5 (2017) 12 Patches fehlten, davon zwei als "kritisch" für die Sicherheit des Telefons. Und das, obwohl dieses Smartphone, lt. Samsung, jeden Android-Patch im Jahr 2017 erhalten haben soll.

    SRL hat die Ergebnisse ihrer Untersuchungen in einer Tabelle zusammengefasst und die Lieferanten in vier Kategorien eingeteilt:


    Legende: Tabelle zeigt Durchschnitt der fehlenden Critical- und High-Severity-Patches. Samples - Few: 5 bis 9; Many: 10 bis 49; Lots: mehr als 50. Nicht alle Patch-Tests sind immer aussagekräftig - die tatsächliche Anzahl fehlender Patches kann höher sein. Nicht alle Patches sind in unseren Tests enthalten, so dass die tatsächliche Anzahl noch höher sein kann.


    In der Untersuchung wurde jedoch auch festgestellt, dass die in den Smartphones verbauten Chip-Sets ebenfalls einen Einfluss auf die Update-Versorgung der Smartphones haben. Während Smartphones mit Prozessoren von Samsung nur sehr wenige Patches heimlich übersprungen hatten, fehlten denen, die Chips der taiwanesischen Firma MediaTek verwendeten, im Durchschnitt satte 9,7 Patches. Da diese Chips vorrangig in günstigen Geräten verbaut sind und deren Hersteller generell eher zurückhaltend bei der Versorgung mit Patches sind, sowie öfters Fehler in den Chips des Telefons und nicht in seinem Betriebssystem auftreten, landet man laut Nohl „in einem weniger gepflegten Teil dieses Ökosystems (Android) ".



    Google, mit der Untersuchung konfrontiert, nimmt die Ergebnisse ernst und arbeitet gemeinsam mit SRL an einer Überprüfung. Gleichzeitig bringt Google jedoch auch einige Gegenargumente: Einerseits seien eine Reihe der getesteten Geräte nicht android-zertifiziert, andererseits würden in manchen Fällen Patches auf den Geräten fehlen, weil die Telefonanbieter darauf reagierten, indem sie einfach eine anfällige Funktion vom Telefon entfernten, anstatt sie zu patchen oder das Telefon diese Funktion gar nicht hätte. Entscheidend sei aber, dass moderne Android-Handys über Sicherheitsfunktionen verfügen würden, die es schwierig machen würden, sie zu hacken.

    Sicherheitsupdates wären eine von vielen Schichten, die zum Schutz von Android-Geräten und -Anwendern verwendet werden", so Scott Roberts, Android Product Security Lead, der auf den eingebauten Plattform-Schutz, wie z.B. Application Sandboxing sowie Sicherheitsdienste, wie z.B. Google Play Protect verwies. Aufgrund der Komplexität der Systeme reichten ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssten für einen erfolgreichen Hack mehrere Fehler miteinander verzahnt ausgenutzt werden.

    Dem stimmt auch Nohl zu. Das Hacken von Android-Handys durch Ausnutzung ihrer fehlenden Patches sei viel schwieriger als es klingen würde. Sogar Android-Handys, die nicht über solide Patches verfügen, profitierten immer noch von den generellen Android-Sicherheitsfeatures. Gleichzeitig verwies Nohl aber auf das Sicherheitsprinzip der "Defense in Depth". Jeder verpasste Patch wäre potenziell eine Schutzschicht weniger.

    Wie sieht es nun eigentlich mit unseren BlackDroiden aus? Wer die erste Tabelle gelesen hat, dort taucht TCL in der Kategorie „Verlierer“ auf. Gilt dies auch für die in Lizenz gefertigten KEYone und Motion. Dazu gibt es keine konkrete Aussage. Wer jedoch selbst einmal überprüfen möchte, wie sein individueller Sicherheitspatch-Status aussieht, dem sei die App SnoopSnitch von SRL empfohlen. Sie steht im Play Store zum Download bereit. Nach der Installation der App oben links auf das Pflaster-Symbol klicken und den Test starten. Das Ergebnis sieht bei mir folgendermaßen aus:



    Danach fehlen auf meinem BlackBerry zwei Patches aus Juni und September letzten Jahres und 53 Patches sind nicht schlüssig überprüfbar. Komisch nur, mein Smartphone ist erst im September produziert worden. Und die Patches aus 2018 fehlen vollständig. Das gilt es noch zu überprüfen.

    Gruß Paulelmar



    Quellen und Bildquellen: Security Research Labs, Wired


    Das Team der BlackBerryBase bedankt sich bei mehr als 3.000 BBM-Channel Abonnenten!

    Geändert von paulelmar (13.04.2018 um 16:48 Uhr)


    Da ich immer wieder gefragt werde, ob ich alles so meine, wie ich es hier schreibe,
    möchte ich in aller Deutlichkeit sagen:
    VIELLEICHT!


  2. Thanks Cyriax, bebe1231 thanked for this post
  3. Top | #2
    Reporter Avatar von Cyriax
    Registriert seit
    30.11.2012
    Ort
    Meenz
    Beiträge
    2.854
    BB Pin
    2BD016CA
    Modell
    Z10 und Passport
    Firmware
    10.3.3.1435
    Anbindung
    Kommt noch :-)
    Likes bekommen
    836
    Likes gegeben
    360
    Post Thanks / Like
    Habe die gleichen Ergebnisse (Motion) wie mein Kollege paulelmar.



    BlackBerrybase BBM-Channel

    PIN C0007F395





  4. Top | #3
    Erfahrener Benutzer
    Registriert seit
    31.05.2015
    Beiträge
    722
    Modell
    2x Q10 / iPhone 8
    Likes bekommen
    0
    Likes gegeben
    0
    Post Thanks / Like
    Möge doch mal jemand sagen, was konkret diese Sicherheitspatches verhindern.
    Also, WAS passiert mir, wenn mein Handy diese Patches nicht erhält?
    Wovor genau sollen sie schützen?

    Mann mann, ansonsten ist das alles nur ein System, das ein einfach dazu hindirigieren soll, eben alle 2 Jahre wieder ein neues (für zwei Jahre mit Sicherheitspatches versprochenes) Smartphone zu kaufen, weil sonst ist aaaaaaaaalles seeeeehr gefääährlich!

  5. Top | #4
    Administrator Avatar von forpeace
    Registriert seit
    22.08.2010
    Ort
    Rheinland
    Beiträge
    3.137
    BB Pin
    auf Anfrage
    Modell
    Keyone / Priv / DTEK50 / Passport / Classic / Z 30 / Z 10 / Q 10 / 9900 / 9810 / 9700 / PlayBook
    Firmware
    meist die aktuelle Offizielle
    Anbindung
    verschiedene
    Likes bekommen
    82
    Likes gegeben
    151
    Post Thanks / Like
    Dies ist wie immer auch bei dem Rechner daheim. Es gibt diejenigen, die nie ein Update machen und "natürlich auch noch nie ein Problem" hatten.

    Und dann gibt es die Anderen, die immer Sicherheitsupdates fahren und wahrscheinlich auch kein Problem (außer vom Update) hatten.

    Ich persönlich fühle mich mit den Updates einfach "wohler". Dann weiss ich zumindestens wenn was passiert, es lag nicht an meiner Bequemlichkeit das Update einzuspielen.

    Es gibt aber auch reichlich "Altgeräte" die bei mir auch ohne Updates noch sehr gut laufen


    Wenn du im Recht bist, kannst du dir leisten, die Ruhe zu bewahren. Wenn du im Unrecht bist, kannst du dir nicht leisten, sie zu verlieren. (Gandhi)

  6. Top | #5
    Erfahrener Benutzer Avatar von royalblack
    Registriert seit
    30.09.2015
    Ort
    Mönchengladbach
    Beiträge
    3.487
    BB Pin
    2AEE95A4
    Modell
    PP black
    Likes bekommen
    0
    Likes gegeben
    0
    Post Thanks / Like
    Die Welt ... vor allem die virtuelle Welt ist "böse" ... ohne Sch...


    Kleines Beispiel vom letzten Wochenende. Das hat jetzt nichts mit Sicherheitspatches zu tun. Ich habe ja sowieso das allersicherste OS . OS10 ist wohl immun vor Viren wegen absolutem Desinteresse in der Hacker- und Virenwelt. Aber davon will ich nicht schreiben.


    Am Samstag hatte ich eine Abbuchung von meinem Lastschriftkonto. 22,Euro-irgendwas. Und zwar hat sich Paypal bei mir diesen Betrag geholt, weil eine Zahlung per Google Wallet für einen Kauf im Playstore gelaufen sein sollte.


    Spannend dabei. Paypal habe ich, aber definitiv keine Nutzung des Playstore und schon gar keine Zahlungsmethode eingegeben oder Lastschriftermächtigung erteilt, allerdings habe ich eine Googlemail. Natürlich habe ich das direkt per Paypal klären können, aber ich will nicht wissen, wie oft jetzt über die Tage eine solche Abbuchung passiert ist und wie viele sich fragen, ob sie nicht vielleicht doch ? ...


    Es ist also schon so ganz ohne Viren oder Trojaner, ohne Ermächtigung oder anderer Legitimierung möglich, eine Lastschrift auf meinem Konto auszulösen, dafür Paypal zu nutzen, um sich bei einem unbescholtenen Bürger, der nichts zu verbergen hat :-), was zu holen.


    Vorsicht ist also immer angebracht.
    BB < Passport > Nutzer bis zum Zerfall der HW

  7. Thanks bebe1231, tommel2 thanked for this post
  8. Top | #6
    Benutzer Avatar von Maticora
    Registriert seit
    27.01.2017
    Ort
    Magdeburg
    Beiträge
    49
    Modell
    Q5, Passport Black, Q10, Classic, Z10, PlayBook
    Likes bekommen
    0
    Likes gegeben
    0
    Post Thanks / Like
    Da ich nur ein Tablet (nur wlan) habe auf dem Android läuft, wollte ich deren "Sicherheitsstand" mal testen. Doch da meint der Playstore gleich, dass diese Version der App mit meinem Gerät nicht kompatibel sei.

    Schon eigenartig, dass zum testen eines Gerätes auch gleich immer eine Mobilfunkverbindung bestehen muss.

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •