Stagefright - Informationsthread (Lösungen, News, Diskussion)

[Erbsenmatsch]

Na, wer von euch hat noch ein paar Chinakracher (oder jedes andere android phone) herumliegen, die nie ein Update gesehen haben?

Fast eine Milliarde Smartphones auf Basis von Android sind nach Angaben von Sicherheitsexperten anfällig für eine jetzt entdeckte Schwachstelle, die auf den Namen "Stagefright" getauft wurde. Google hat bereits einen entsprechenden Patch an die Gerätehersteller ausgeliefert.

Wie Zimperium Mobile Security berichtet, ist offenbar die Verarbeitung von Videodateien die Ursache des Fehlers, vor allem was den Umgang mit MMS-Nachrichten angeht. Ein Angreifer kann die Schwachstelle angeblich durch den Versand von Schadcode in Form einer MMS-Nachricht ausnutzen. Sobald der Exploit erfolgreich ausgenutzt wurde, kann der Angreifer aus der Ferne Code auf dem betroffenen System ausführen.

Unter anderem kann der Angreifer auf diesem Weg Zugriff auf das Mikrofon, die Kameras und die meisten Kernfunktionen von Android erhalten. Im schlimmsten Fall soll es sogar möglich sein, den Schadcode auf dem attackierten System ausführen zu lassen, ohne dass eine Nutzeraktivität notwendig ist - man bekommt also vielleicht noch nicht einmal mit, wenn man angegriffen wurde.

Vor allem Android-Geräte mit älteren Android-Versionen sind für die neue Lücke besonders anfällig - wer eine Version vor Android 4.1 "Jelly Bean" einsetzt, ist nach Angaben der Sicherheitsspezialisten besonders gefährdet. Aktuell liegen noch nicht alle Informationen zu der als besonders schwerwiegend eingestuften neuen Android-Schwachstelle vor, denn Zimperium Mobile Security will erst anlässlich der Hacker-Konferenz Black Hat im August ausführlicher darüber informieren.

Google wurde bereits in Kenntniss gesetzt und hat bereits entsprechende Gegenmaßnahmen eingeleitet. Dazu wurde ein passender Patch entwickelt, der die Schwachstelle beseitigt, und an die Gerätehersteller verteilt. Bis diese jedoch beginnen, das Update auch an die Nutzer der Geräte weiterzureichen, kann es jedoch leider durchaus sehr lange dauern. Auch die zweifelhafte Update-Politik vieler Netzbetreiber dürfte einige Nutzer im Regen stehen lassen und somit für die Schwachstelle anfällig machen. Angeblich sollen bis zu 95 Prozent aller Android-Geräte im Markt verwundbar sein.

via: http://winfuture.de/news,88204.html

 

[StardustOne]

Tja, konnte die meistens verkaufen. Aber damals zu MTK6589 Zeiten war das ja schon ein riesen Theater, für ewig stecken geblieben mit Android 4.2.

Jetzt wiederholt sich die Geschichte mit 4.4 und die aktuellen 5.1 oder 5.0 Phones erleiden das selbe Schicksal. Schade dass Android da nichts Besseres zu bieten hat.

Entweder man kauft für 500 Euro ein Marken Phone und bekommt eventuell gnädigst ein Jahr später vielleicht ein Update, oder man kauft jedes Jahr ein neues China Phone. Keine gesunde Entwicklung.

Google interessiert die Sicherheit bei mal gekauften Produkten nicht viel, es geht da auch nur ums Verkaufen. Mein altes Umi X2 würde jedenfalls nie ein Update erhalten und dabei war die Hardware damals top.

Und mein schönes Galaxy Nexus wurde auch mit Android 4.3 durch Google versenkt. Top Hardware, aber null Support nach Ablauf der Google Lebenszeit.

So betrachtet, sind iPhones geradezu preisgünstig, denn man kann sie drei oder mehr Jahre nutzen.

 

[digidu]

Wer noch MMS benutzt hat selber schuld ^^

 

[thor2001]

@Erbsenmatsch

Tust grad so als wäre das ein reines Chinaphone-Problem, wohingegen viele Markengeräte ab einem gewissen Alter auch keine Updates mehr bekommen, oder gar keine.

Ich persönlich sehe da kein großes Gefahrenpotential.

Gruß

 

[Erbsenmatsch]

natürlich betrifft das alle Geräte! so wollte ich es nicht darstellen Sorry, wenns so rüber kam!

 

[Schussi]

@ Stardust, Diese Entwicklung hat aber nichts mit Android zu tun, sondern mehr mit dem fehlenden Interesse der Hardwarehersteller... .

Und nicht vergessen, iOs Updates mit neuer Erstnummer, laufen nur auf dem dazu erscheinenden iPhone im vollem Umfang .

 

[Daemonarch]

Jo, die Updateseuche ist ja wirklich nicht nur auf Chinageräte beschränkt...

Mein s3 mini, das ich letztens meiner Tante vermacht habe, ist werksmäßig auf 4.1.2 hängengeblieben...
Dank touchwiz haben Samsung-Geräte auch keine lange "lebenserwartung", mein S3 Neo, das ich gebraucht günstig geschossen hab, wird sicher auch nie Lollipop sehen.

Von daher, der einzige große Vorteil bei den Markenphones ist die meist gute Versorgung mit ausgereiften custom-roms wie Cyanogen-Mod.
Was allerdings bei einigen Chinaphones mit snapdragons auch kommen könnte.

 

[noplan]

Wie schon so einige Male von mir erwähnt
Sony Xperia (Release 02/13) aktuell mit 5.1 Stock-LP unterwegs - per OTA erhalten.
Sind nicht alle Buden gleich

 

[thor2001]

@noplan

Gibt auch genug Sony-Phones, bei denen du Updates vergessen kannst ... hängt stark vom Preissegment ab, wie bei den anderen Marken auch.

Gruß

 

[noplan]

...hängt stark vom Preissegment ab, wie bei den anderen Marken auch.

Wäre schlimm, wenn das keine Rolle spielen würde.
Bei ner 500 Euro Flunder muss das einfach drin sein, sonst rennt die Kundschaft langfristig zur Konkurenz. Ich wäre jedenfalls so.

 

[HabiXX]

Bei Xiaomi sieht es mit Updates auch recht gut aus.

 

[altmann]

Jupps, definitiv kein Problem nur von Chinaherstellern, sondern auch von vielen "Markenherstellern". Oft ist da nach 1,5-2 Jahren auch spätestens mit Updates Schluss. Und wenn ich mir die Updates fürs Elephone P6000 z.B. angucke, sind wir da auch "schon" auf 7,5 Monaten. Also jetzt auch nicht so unendlich schlecht für 'ne Chinabude. Effektiv kann man so ein Smartphone "sicher" 2-3 Jahre nutzen. Danach ist aber imho in vielen Fällen die Hardware auch durch (zumindest bei mir, meine Telefone werden aber auch jeden Tag inner Tasche den ganzen Tag mit rumgeschleppt).

Das die Apfel-Geräte da so viel besser sind, halte ich für nen Gerücht. Da ist eigentlich auch nach maximal drei Jahren der Lebenszyklus durch, dann gibts kein neues iOS mehr. Und das heisst in den meisten Fällen, das ich noch nicht mal mehr Zugriff auf den App Store respektive iTunes habe. Wenn ich dann das Gerät nicht jailbreake, kann ich gar keine aktuellen bzw. neuen Apps installieren. Das nenne ich mal Einschänkung.

Übrigens: Die meisten Android Bugs konnten bis jetzt durch Nutzung alternativer Software auf alten Geräten zumindest umgegangen werden. Wie z.B. der Bug in der Rendering-Engine vom Stock Browser. Da musste man dann nen alternativen Browser nutzen und war von dem Problem nicht betroffen. Könnte mir vorstellen, dass man hier infach nen alternativen MMS-Client nutzen kann. Geht der Artikel leider nicht drauf ein.
Ist dann natürlich nicht die sauberste Lösung, aber immerhin etwas. An der Stelle ist die modulare Bauweise von Android dann wieder vorteilhaft.

 

[duffy-31]

Könnte mir vorstellen, dass man hier infach nen alternativen MMS-Client nutzen kann.

Das betrifft alle Apps die Videos emfpangen können, Hangouts z. B.

Der Entdecker der "größten aller Android Sicherheitslücken" arbeitet für eine Firma die Sicherheitssoftware entwickelt und ist Mitautor eines Buches zum Thema Android hacking.
Ob da nicht übertrieben wird um Aufmerksamkeit für seine Auftritte bei DEF CON und Black Hat zu generieren ?

 

[digidu]

^^

http://www.heise.de/newsticker/meldung/Stagefright-Android-Smartphones-ueber-Kurznachrichten-angreifbar-2763764.html

 

[Daemonarch]

Die größten "Sicherheitslücken" erstellen die User sich meist selbst, durch installieren von Trojanern wie Whatsapp oder der Facebook-app...

 

[StardustOne]

Ich bin fassungslos wie gleichgültig alle immer noch auf den nächsten Schnäppchendeal warten, während 95% aller Android und wohl 99% aller China Android Phones diesen Angriffen schutzlos ausgeliefert sind.

Anstatt sich erst mal zu erkundigen wann der nächste Flagship Killer einen Schutz bietet, wird nach Pre Sell Rabatten gejagt.

Sind wir tatsächlich schon so abgebrüht dass uns der Preis blind gemacht hat?

 

[Chocoball]

Und ein 2. Mediaserver bug ist entdeckt worden http://blog.trendmicro.com/trendlabs-security-intelligence/android-mediaserver-bug-traps-phones-in-endless-reboots/. Auch Lollipop 5.1.1 ist betroffen also ist der frage wann 5.1.2 kommt?

Ausserdem wartet der Sicherheitsexperte mit der Veröffentlichung bis zum 24. August https://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/.

Wenn es schon zum Updates auf China Phones kommt sind es meistens verbesserungen für GPS, Kamera, usw aber fast nie von 4.4.2 nach 4.4.4 z.B. Auch mein beliebtes Xiaomi trifft es, ob ich je noch Lollipop sehe fürs MiPad anstatt 4.4.4.

Immer wichtig ist das man weiss was auf dem Handy installiert ist. Eine Taschenlampe - oder Kompass App mit zuviel Berechtigungen muss man einfach nicht wollen. So auch gratis Spiele die eine Kopie sind von bezahlten Versionen. Obwohl es auch Spielen gibt wo man gleich ein Verdacht hat http://www.chinamobiles.org/threads/android-spiele-klauen-facebook-zugangs-daten.45595/.

 

[thor2001]

This causes a device’s system to reboot and drain all its battery life. In more a severe case, where a related malicious app is set to auto-start, the device can be trapped in an endless reboot and rendered unusable.

Mal ne ganz dumme Frage, aber wo ist das Problem bei Reboots?

Im Zweifel macht man einen Factory Reset (im Recovery), oder flasht die FW neu, aber dann ist der Autostart jungfreulich.

Und ein 2. Mediaserver bug ist entdeckt worden http://blog.trendmicro.com/trendlab...iaserver-bug-traps-phones-in-endless-reboots/.

 

[Knecht_Ruprecht]

Factory Reset? Wie viele Anwender trauen sich das zu? Das Forum hier ist sicherlich wenig representativ. Wenn ich mal an meines Freundes- und Bekanntenkreis denke, dann würde ich sagen, die fragen alle bei mir an. Und ich bin wirklich absolut nicht der Auskenner in dem Bereich.

 

[wydan]

http://www.golem.de/news/android-schwachstelle-telekom-schaltet-wegen-stagefright-exploits-direktes-mms-ab-1508-115600.html