Pileup: Android-Update gibt unkontrolliert Rechte frei

Eine neu entdeckte Sicherheitslücke in Googles Mobile-Betriebssystem Android ermöglicht es, dass ein Angreifer über eine App unbemerkt weitgehende Rechte erhält - wenn er etwas Geduld mitbringt. mehr... Google, Android, Malware, Virus, Schadsoftware Bildquelle: Google Android, Sicherheit, Security, schloss Android, Sicherheit, Security, schloss Google

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Also entsteht das Problem nur wenn Android geupdated wird? Welch Ironie und gleichzeitig dann Glück, dass die meisten Android-Geräte da draußen wohl kein Update mehr bekommen.
 
@Givarus: Ich hab genau das selbe gedacht. Keine Ahnung wieso du dafür Minus bekommst. Es ist einfach die Wahrheit das viele Android Geräte keine Updates bekommen.
 
Also wenn es so einfach ist, wie hier beschrieben, dann ist es ein recht schlampiger Fehler. Rechtevergabe bei einem Systemupdate sollte eigentlich ein recht konkretes Szenario sein. Und es sollte auch mehr als offensichtlich sein, dass neu geschaffene Rechte nicht automatisch vergeben werden. Wenn es wirklich so gewollt ist, verfolgt man hier wohl das Blacklist-Prinzip: Es ist alles erlaubt, was nicht explizit verboten wurde. Bei Apps wäre es aber eigentlich besser, wenn sie von Haus aus nichts dürfen und explizit jedes Recht vom Anwender freigeschaltet werden muss.
 
@Runaway-Fan: Denke mal, das ist eher ein Fall von Konsolidierung, damit man sich auf einen bestimmten Ist-Zustand einrichten kann, wenn neue Rechtevergaben möglich werden. Und dann hat man halt gesagt, lieber "erlauben" als riskieren, daß das System hängt, weil essentielle Rechte (per Default) verweigert wurden. Oder anders gesagt: man macht sich's so einfach wie möglich, weil anderenfalls konkrete Listen mit erforderlichen Rechten geführt werden müßten.
 
@Runaway-Fan: Naja es ist ja nicht einfach. Die rede ist nicht umsonst von einem komplexen updateverfahren.

Und ich sehe auch bei der lösung apps von haus aus keine Rechte zu geben ein Problem... Theoretisch eigentlich korrekt aber wenn jeder Androiduser plötzlich anfangen muss rechte auf dem Phone zu verwalten generierst du ein Supportansturm epischen Ausmaßes. Der casual user kommt nicht klar damit auch wenn du ihm noch so eindringlich erklärst warum jetzt die app welches recht haben will. Letztlich würden viele aus angst keine Rechte vergeben und dann massenhaft fragen warums nicht funktioniert und die anderen würden alles anhaken weil sie es nicht verstehen aber die app funktioniert. Man kann nicht erwarten dass jeder die Zusammenhänge versteht. Der Nutzer will schnell und einfach sein Angry Bird und co. installieren und zocken können.
 
@D0N: Wenn man eine neu App installiert, wird man ja auch gefragt, ob die App die Rechte XYZ bekommen soll. Wenn es neue Rechte gibt durch ein System-Update, könnte man bei solchen Apps einfach nochmal fragen, ob die App die Rechte bekommen soll. Dann klickt man nach dem Update noch einmal auf "ja, sie darf das" und fertig. Das sollte nicht zu großen Supportanstürmen führen.
Problematisch scheint mir dabei nur zu sein, dass offenbar bei einer App nur festgehalten wird, ob sie Rechte bekommen hat oder nicht. Und nicht unterschieden wird nach den Rechten. Wenn eine Anwendung sagt, ich möchte gerne Recht A, B und C haben. Das System kennt aber nur Recht A und B und fragt den Anwender also auch nur "Soll die App Recht A und B bekommen". Dann sollte sich das System meiner Meinung nach auch merken, dass die App nun Recht A und B hat. (Offenbar merkt es sich derzeit aber nur, der Anwender hat der App Rechte erteilt.) Und wenn die Anwendung was mit Recht A machen will, sagt das System ok. Wenn sie was mit Recht C machen will, sagt das alte System, kenne ich nicht. Nach dem Update sollte das System dann bei der gleichen Frage aber sagen: Recht C hast Du nicht, da muss ich erst den Anwender Fragen.
Sicherlich ist ein Betriebssystem komplexer als eine Taschenrechner-App, aber dafür sitzen dort ja auch mehr und hochgradig versierte Mitarbeiter.
 
@Runaway-Fan: Ich kann dir aus erster hand der Softwareentwicklung sagen, dass schon ein einziger Klick zu viel den Kunden aufregt und den Support belastet so blöd das auch ist.
In meinen Augen Wäre deine Idee auch cool aber ich glaub trotzdem das diese Lösung nervig sein wird sobald jemand bewusst Rechte vergeben muss. Meiner Ansicht nach müsste man jedes Recht einzeln bestätigen und erklärt bekommen warum die App wofür das Recht genau braucht.
Da werden aber Apphersteller und Nutzer mosern weil das wie das lesen einer Packungsbeilage von Medikamenten ist. Die leute bekommen ein mulmiges gefühl oder ignorieren es total.
Ich denke aber mal auch dass man einfach nach jedem Systemupdate die appberechtigungen neu erteilen muss.
Die Entwickler haben wohl einfach was übersehen sind halt Menschen auch wenn das mitunter nicht passieren darf ist das halt so egal wie versiert die sind
 
@Runaway-Fan: Android merkt sich so viel ich weiß überhaupt nichts zu Rechten. Wenn du beim installieren nein sagst wird die App nicht installiert. Sagst du ja wird sie installiert und darf alles was in ihr vermerkt ist. Das heißt die App selbst bringt die Liste mit die die Berechtigungen enthält die das System ihr gibt. Also müsste nach einem Update eigentlich jede App neu installiert werden ohne zu gucken ob Sie schon auf dem System vorhanden ist wie das ja bei Updates der Fall ist. Da vergleicht Android nur ob das Update weitere Rechte anfordert die der bereits installierten App noch nicht gewährt wurden.
 
da muss man also im voraus genau wissen, was man haben will und wie das genannt wird etc...wie soll denn sowas funtkionieren?? totaler quark...
 
@Warhead: .... Sicherheits-Experten von der Indiana University und dem Software-Konzern Microsoft, ein Schelm.....
 
@OttONormalUser: Die haben aber nichtsdestotrotz dieses Verhalten wohl nicht ins OS eingeschleust, sondern es lediglich herausgefunden...
 
@DON666: Ja, ist ja auch schön, dass sie es mit uns teilen. Ich hätte mir aber trotzdem eine Antwort auf die Frage von Warhead erhofft, wie Realistisch ist es, eine App zu verteilen, die ZUKÜNFTIGE Rechte kennt und anfordert?
 
@OttONormalUser: Lies dir o4:re1 durch ;)
 
@ger_brian: hab ich schon, weiß aber immer noch nicht mit welchen rechten sie das festgestellt haben.
 
was gibts denn so für rechte die evtl erst per update eine funktion bekommen? mir fällt da grad nichts ein aber wäre ja schon mal wichitg das zu wissen damit man weiß wodrauf man achten muss.
 
@Tea-Shirt: Naja, ich denke mal folgendes Szenario: Google bringt eine neue Androidversion, mit der mehrere neue Rechte eingeführt werden. Dann kommt eine App und fordert auf einem Gerät genau diese Rechte an, obwohl das Gerät noch nicht aktualisiert wurde. Ein paar Wochen später bringt der Hersteller das Update und die App hat ohne weitere Nachfrage die entsprechenden Rechte bereits inne.
 
@Puncher4444: Also ein eher theoretisches Problem. Aber schön, dass Microsoft sich so um die Sicherheit von Android sorgt ;)
 
Deswegen gibt es für mein Galaxy S3 Mini keine Updates, aus Sicherheitsgründen. Ich wusste gar nicht das Samsung da so fürsorglich ist :)
 
Ich finde die Updatepolitik sollte von Google besser gehandlet werden. Bei Windows sind Sicherheitsupdates in einer Art Pflicht. Bei Android geht man damit liederlich um. Es sind genug Androiden im Umlauf. Da muß was geschenen. Zweierlei Maß ist hier fehl am Platz. Androiden enthalten oft nicht weniger sensible (wenn nicht stellenweise sogar sensiblere) Daten als ein PC.
 
@Zwerg7: Google hat ja das Problem, das die eigentlich gar keine Kontrolle über das Updateverhalten haben, weil Android eben offen ist, und eben nicht "von Google kommt", sondern vom Hersteller.
 
@Zwerg7: Spätestens seit Telekom-Mitarbeiterüberwachungsskandal, Carrier-IQ-Skandal und den Snowden-Veröffentlichungen sollte jedem klar sein, dass sensible Daten auf Geräten mit Zugang zu fremdadministrierten Netzen nichts zu suchen haben, da sich immer jemand findet, der diese auslesen und für seine Zwecke verwenden kann. Ich spiele seit weit über 10 Jahren auf Windows XP keine Sicherheitsupdates mehr ein und habe auch keinen Virenscanner installiert. Trotzdem konnten Virenscanner auf Linux-Live-CDs selbst auf meiner ältesten Windows-XP-Installation aus dem Jahre 2002 bisher keine Viren finden. Wie man gesehen hat, fanden die aber den "Bundestrojaner" auch nicht und mit hoher Wahrscheinlichkeit haben alle heutigen Netzwerkbetriebssysteme Hintertüren von NSA und Co. zusätzlich zu den ohnehin vorhandenen Sicherheitslücken durch Softwarefehler. ____

Das alles lässt nur einen Schluss zu: Wer glaubt, sensible Daten wäre auf einem voll gepatchten System mit Zugang zum Mobilfunknetz oder zum Internet in irgendeiner Weise sicher, der glaubt vermutlich auch an den Weihnachtsmann. _____

Ich gehe davon aus, dass eine Softwre wie Carrier IQ auch heute auf allen Handys installiert ist. Bei Carrier IQ hat es schon lange gedauert, bis es ein Hacker entdeckt hat und diese Software war lediglich mit höheren Rechten als der Besitzer eines SmartPhones hat ganz normal installiert. Die heute verwendete "Carrier-IQ"-Software wird wohl RootKit-Techniken verwenden oder ist direkt in den Kernel kompiliert und ist damit selbst für Hacker mit vertretbarem Aufwand kaum zu entdecken. Wie willst Du auf einem derart korrumpierten System irgendeine Sicherheit für Daten gewährleisten? Das geht schlichtweg nicht.____

Fazit: Sensible Daten haben auf Geräten mit Netzwerkzugang zu öffentlichen Netzen nichts verloren. Ich habe auf meinen Internetrechnern noch nie auch nur meinen Namen eingetippt, geschweige denn andere Daten darauf gespeichert. Sicherheitsupdates brauche ich nicht, da ich meine Internetgeräte so behandele als würde jeder in der Welt alles mitlesen können, was ich dort eingebe und speichere, weil das eben jeder der es ernsthaft will auch kann und da spielen Sicherheitspatches kaum eine Rolle.
 
Ich mache grundsätzlich keine Updates sondern nur Neuistallationen. Mit TB siehts danach auch wieder so aus wie vorher!
Kommentar abgeben Netiquette beachten!