Browser wechseln: Android-Exploit erlaubt Einschleusen von Apps

Android-Smartphone-Besitzer, auf dessen Geräten das Betriebssystem in der Version 4.3 oder älter installiert ist, sollten beim Surfen nicht auf den Standard-Browser setzen. Ein neu aufgetauchter Exploit macht es möglich, beim Aufruf bestimmter ... mehr... Google, Android, Malware, Virus, Schadsoftware Bildquelle: Google Android, Sicherheit, Security, schloss Android, Sicherheit, Security, schloss Google

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich sage mal Danke für diese Art der Berichterstattung. Ich möchte anführen, daß meines Wissens aufgrund eines Kommentars im Heiseforum alle Webview-Browser und Apps, welche wohl Webview nutzen, dieses Sicherheitsrisiko darstellen.
Ich hoffe, es ist erlaubt:

http://www.heise.de/security/news/foren/S-Wer-betroffen-ist-muss-sein-Geraet-nicht-gleich-entsorgen/forum-292179/msg-26499702/read/
 
Interessant: Google schliesst bei mehr als 50% der Geräte mit eigener Software die Sicherheitslücken nicht mehr.
Aber Anderen an die Karre pinkeln wollen weil sie nicht nach Googles gutdünken fixen.
Google ist der allerletzte Saftladen und genau der Grund warum Androiden bei uns strikt aussen vor bleiben.
 
@LastFrontier: Mehr als 50% aller Nexus Geräte sind betroffen?
 
@Candlebox: die frage an der stelle ist wenn mehr als 50% der nexus geräte betroffen wären .. wieviel prozenzt machen die nexusgeräte auf von allen android smartphones aus?
 
@Balu2004: Was spielt das für eine Rolle? Willst du damit sagen, nur weil die Nexus Geräte einen geringen Marktanteil haben muss sich Google einfach nicht mehr um Sicherheitsupdates kümmern?
 
@Draco2007: nein die frage von candlebox war rhetorisch . mich würde lediglich mal interessieren wie hoch der marktanteil der nexus geräte ist.

google sollte schon schauen das sie sicherheitsupdates bereitstellen .. das traurige ist das sie erst langsam mit android >4.4 anfangen das problem anzugehen.
 
@Balu2004: Achso, na dann...

Joa ich muss schon sagen, mit Version 5 dann langsam mal ein Konzept einzubauen um Sicherheitsupdates möglichst direkt einspielen zu können, ohne dass die Gerätehersteller nochmal ran müssen ist schon traurig...
 
@Draco2007: eben und wie lange gibt es schon android? ..
 
@Draco2007: Bei Android war es stets so, dass Google die Fixes mit der nächsten Version herausbringt. Es gab NIE fixes für ältere Versionen. Was ich bei dieser Diskussion nur seltsam finde, ist, dass die Hersteller an der Fragmentierung Schuld seien sollen, aber für das nicht Updaten Google schuldig gemacht wird, wobei beides ein und den selben Grund hat. Zumal die Geräte, die direkt von Google supportet werden, auf der neusten Android-Version laufen (Google Play Devices, Nexus und Android One)
 
@blume666: Ist das so? Ich meine es gibt Nexus Geräte die keine 2 Jahre alt sind und eben NICHT mehr supportet werden....

Und DAS kann es NICHT sein...

Und ein Sicherheitskonzept, welches es nicht zulässt, dass man Sicherheitsupdate unabhängig von irgendwelchen Geräteherstellern einspielen kann, ist auch einzig und allein Googles Problem...
 
@Draco2007: Dann meinst du falsch, Nexus 4 wird seit 27 Monaten und Nexus 7 sogar schon seit 31 Monaten mit Updates versorgt.
Bei Windows Phone sieht es doch nicht anders aus, die Updates beim Ativ S oder dem HTC 8x kamen auch nur mit monatelanger Verzögerung bzw. bisher gar nicht, hängen also ebenfalls von der Freigabe durch den Gerätehersteller ab. Google ist hier (aufgrund der Marktposition notwendigerweise) bei den neuen Android-Versionen sogar vorbildlich, da es immer mehr Bestandteile aus dem Kernsystem herauslöst und unabhängig updatebar macht.
 
@blume666: Doch es gab fixes für ältere Versionen, die sind aber nur ins AOSP geflossen und nie in freier Wildbahn bei einem Hersteller aufgetaucht. Die wären die Versionen 2.2.2 und 2.2.3.
 
@nicknicknick: Sieht halt beim Galaxy Nexus schon anders aus. Da musste man auf Third Parties zurueckgreifen um eine aktuelle Version des Systems zu bekommen.
 
@-adrian-: Oder beim Nexus One oder beim Nexus S. Übrigens das Galaxy Nexus ist Ende 2011 auf den Markt gekommen, es ist also mehr als drei Jahre alt, bei Marktstart von KitKat war es mehr als zwei Jahre alt. GN: 19.10.2011, KK: 31.10.2013.
Und warum gab es beim Galaxy Nexus kein Update? Der Zulieferer der Komponenten existiert nicht mehr und kann deshalb keine Treiber liefern.
Dieses kann auch bei dem viel gelobten Windows Phones passieren oder schreibt Microsoft alle Treiber selber?
 
@floerido: Die brauchen die Treiber nicht selbst schreiben. Sie muessen nur zusehen dass die Treiber weiterhin funktionieren!
 
@-adrian-: Das Galaxy Nexus hat immerhin deutlich länger Updates bekommen als das jüngere Lumia 900. Aber ich will das jetzt wirklich nicht schon wieder ausdiskutieren, in beiden Fällen wäre der Aufwand für ein Update sehr hoch und die einwandfreie Funktion nicht gewährleistet gewesen. Der Vorteil liegt trotzdem beim GNExus, denn dort gibt es immerhin die Option, das Gerät mit inoffiziellen Updates auf Lollipop zu bringen.
 
@nicknicknick: Inoffizielle updates funktionieren .. offizielle nicht. Dann fragst du dich noch was unser problem damit ist :)
 
@-adrian-: Frag doch mal nach den Einschränkungen aufgrund der fehlenden passenden Treiber. Die gibt es nämlich und ich kann verstehen, dass kein seriöses Unternehmen so etwas offiziell ausliefert. Wäre vermutlich rechtlich auch gar nicht möglich daran was zu drehen, aber das wissen nur TI und Google/Samsung sicher.
 
@floerido: Ok, ja das habe ich in anderen Kommentaren schonmal erwähnt, dass eh jeder Hersteller Android Forkt und anpasst. Sony und Co. haben ja auch stets eigene Entwickler für AOSP lose gemacht. Und auch die könnten so etwas fixen. Google hat sich schon längst vom AOSP-Browser getrennt und die Web-View Komponennte erneuert.
 
@Draco2007: Nein, die Geräte gibt es nicht. Das Nexus One, Nexus S und das Galaxy Nexus sind die einzigen Nexus-Devices, die nicht mehr supportet werden. Und das neuste von denen, das Galaxy Nexus, ist 4 1/2 Jahre alt.
 
@Candlebox: Anfroid ist 100% Google. Also ist auf jedem Android-Gerät Googles OS drauf.
Und über 50% aller Androidgeräte erhalten nie mehr ein Sicherheitsupdate.
Wieviel hundert millionen Geräte sind das noch mal????
Der Anteil der Nexus-Geräte ist dabei irrelevant - die sind in den restlichen gut 40% enthalten. Also was versuchst du mir mit deiner Verbalakrobatik zu flöten?
 
@LastFrontier: Verbalakrobatik? Die kommt bestenfalls von dir. Der Vorposter kann dagegen gültige Verträge zwischen den Firmen anbringen. Die konkret festlegen, dass Google zwar Autor der Software ist, diese aber dem Gerätehersteller "as is" und ohne Gewährleistung überlassen wird. So wie das bei kostenlos überlassener Open Source Standard ist. Schlicht weil es nicht anders praktikabel ist. Als Open-Source-Softwareentwickler keine Kontrolle über die Verwendung, Verbreitung und Modifikation der eigenen Software haben, aber voll für alles haften? Ja, erwachsen sein bedeutet noch lange nicht, dass man vernünftig denken kann. Wenn es für deinen Router keine Updates mehr gibt, läufst du auch zu Torvalds und beschwerst dich bei ihm, weil er ja den Linux-Kernel managt.
 
@LastFrontier: Es ist in neuen Versionen von Android doch behoben. Die Hersteller könnten, wenn sie wollten, z.b. ein Android 5.0 Update bauen. Würde Google das z.B. in 4.3 beheben, würden die meisten bzw. alle Anbieter doch sowieso kein Update für ihre Geräte bringen da das mit Aufwand verbunden ist.
Sieht man ja allein schon wieviele Geräte mit 4.4.2 rumdümpeln, gerade bei meinen Samsung, wo nie die Aussicht auf 4.4.4 war. Es wäre was anderes wenn Google selbstständig die Updates auf die Geräte spielen könnte. Aber das geht hier ja scheinbar nicht.
 
@CrazyWolf: Wenn Google es wenigstens schaffen würde die Hardwareanforderungen ihres Betriebssystems zwischen 2 Major-Versionen stabil zu halten und nicht immer wieder grundlegende Dinge zu ändern, wäre das sogar machbar.

Wieso schafft es Microsoft 12 Jahre lang ein Betriebssystem mit Sicherheitsupdates zu versorgen, Google aber kaum 2 Jahre...
 
@Draco2007: Naja sie denken z.T. wenigsten an die Nutzer genau wie Apple.
 
@Draco2007: Die Hardwareanforderungen sind mit 4.4 sogar zurück gegangen...

Microsoft supportet WP7 auch nicht mehr, da sind die letzten Geräte auch erst vor etwas mehr als 2 Jahren rausgekommen. Ein Smartphone wird nunmal deutlich häufiger ersetzt, als ein PC, deshalb soll das auch kein Vorwurf an MS sein.
 
@Draco2007: Und schon wieder liegst du falsch, 4.4 und 5.x laufen mit niedrigeren Anforderungen als die Vorversionen. Vielleicht solltest du dich erst einmal über die Fakten informieren bevor du postest?
 
@nicknicknick: Wenn dem so WÄRE, wieso laufen dann über 50% der Androiden mit einer veralteten Version, wenn die neue doch soviel besser ist?

Weil die bösen bösen Hardwarehersteller uns mit unsicheren Smartphones zum Neukauf zwingen wollen?
Vielleicht...

Aber Google macht es sich trotzdem viel zu einfach...
Wenn es nicht die Hardwareanforderungen sind, dann sind es die anderen grundlegenden Änderungen, die es den Hardwareherstellern unnötig schwer machen neue Updates an ihre Änderungen anzupassen.

Google hat es in all den Jahren Android vermieden ein echtes Sicherheitskonzept zu entwerfen, bei dem sicherheitsrelevante Updates unabhängig von allem anderen gepflegt werden können.
JETZT in Version 5 wird das langsam nachträglich reingewurschelt...

Zudem hat Google es vermieden die Hersteller zu einem MINDESTMASS an Supportzeitraum zu zwingen. Und das könnten sie, genauso wie sie die Hersteller dazu zwingen die Google Services nicht deaktivierbar vorzuinstallieren.
 
@Draco2007: Dem wäre nicht nur so sondern dem ist so! Kannst du ja gerne selbst nachschauen, Stichwort "Project Svelte"

Interessante Argumentation, klingt nur für den unvoreingenommenen Betrachter so, als ob du zwanghaft Google die Schuld geben willst für ein Versäumnis der Hersteller. Warum macht MS es denn den mit Windows Phone genauso? Nenn mir mal ein mobiles Betriebssystem bei dem nicht die Hersteller für die Anpassung, Tests und Auslieferung von Updates für ihre Geräte verantwortlich sind!

Google hat schon mit 4.x angefangen, wichtige Komponenten aus dem System auszulagern. Ist eben nicht so schnell und einfach umzusetzen wie in Kommentarspalten irgendwas zu fordern.

Davon abgesehen, dass die Google-Dienste sehr wohl deaktivierbar sind (schon wieder so ein nachweislich falscher Kram von dir, du lernst es echt nicht!):
Theoretisch eine interessante Idee, so etwas ähnliches hat Google ja mit dem vereinbarten 18-Monats-Zeitraum auch schon mal angebahnt. Nur wie soll das als Zwang in der Praxis durchgesetzt werden? Gibt es dann Ausnahmen aus sachlichen Gründen (z.B. bei nicht erfüllten steigenden Hardwareanforderungen) und wie sehen die Sanktionen aus?
Nicht jede oberflächlich gut aussehende Idee ist praktikabel. Und auch hier gilt wieder: Nenn mir ein anderes mobiles OS, bei dem die Gerätehersteller einer solchen Vereinbarung zugestimmt haben. Auch MS kann die Hersteller nicht zwingen, Updates für WP auszuliefern (http://goo.gl/qexCIf) es fällt nur nicht auf, weil es fast keine Geräte außer den hauseigenen Lumias gibt.
 
@nicknicknick: Als Sanktionen könnte ich mir vorstellen dem Hersteller den Play Zugang zu blockieren und dann auch aktive Geräte aus den Play Services aussperren ;)
 
@Knerd: Und dann? Dann bekommen die Nutzer keine Apps mehr und müssen sich ein neues Gerät kaufen. Schuldig ist dann in den Augen des Nutzers Google und nicht der Hersteller, bringt also nix.
 
@nicknicknick: Mal anders gefragt, würdest du ein Gerät kaufen auf dem die PlayServices nicht laufen? Das war was ich meinte :)
 
@Knerd: Nö natürlich nicht. Ich weiß aber auch was das ist, kann mich informieren und kaufe deswegen immer nur Nexus. Die Mehrzahl der Anwender geht da anders vor.
Außerdem beinhaltete dein Vorschlag ja, aktive Geräte im Nachhinein auszusperren. Da wäre dann ganz klar der Anwender der Gelackmeierte. Und wenn Google die Hersteller ohne Updateversprechen (zu den Unwägbarkeiten siehe re:2) von Android ausschließen würde, hätte das nur zur Folge, dass diese verstärkt auf Android-Forks mit alternativen Appstores oder sogar komplett andere Systeme setzen würden, wo sie nicht vertraglich zu langem Support verpflichtet sind. So stark wie manche das darstellen ist die Position Googles in diesem Bereich nämich gar nicht, also können sie auch nicht einen solchen Zwang durchsetzen.
 
@Draco2007: Zwischen Jelly Bean und KitKat sind die Hardware-Anforderungen sogar gesunken, bei JB war noch 1 GB RAM nötig, bei KitKat nur noch 512 MB.
 
@LastFrontier: Nun, der Stock Browser ist out of service. Der offizielle Nachfolger ist Google Chrome, der sehr wohl auch für Android 4.3 angeboten wird.
 
@knirps: Und die anderen Apps nutzen dann zwangsweise den Chrome oder wie habe ich mir das vorzustellen?
 
@Draco2007: Die Lücke im Playstore wurde geschlossen, womit das wirklich schlimme eigenlich aus der Welt geschaffen worden ist.
 
@knirps: Wirklich?
Was hindert mich daran irgendeine "normale" App zu schreiben, die irgendwas "sinnvolles" macht und nebenbei den Angriffsvektor über den Browser benutzt? Selbst wenn ich den User nicht zwingen kann meine App zu installieren, bleibt es ein gefährlicher Angriffsvektor...
 
@Draco2007: Ich verstehe den Artikel so, das der "Angriffsvektor" nur über das zusammenspiel beider Sicherheitslücken funktioniert. Da die Sicherheitslücke im Playstore aber beseitigt worden ist, gibt es für den Lücke im Browser derzeit kein Potential mehr.
 
@knirps: wenn jemand hingeht und einstellt das aus nicht vertrauenswürdigen quellen installiert werden darf dann besteht das problem weiterhin.. wie du richtig anmerkst ist das problem zumindest im playstore geschlossen .. ich frage mich gerade beim schreiben inwiefern der playstore abgesichert werden muss? man nutzt doch eh die google play store app hierfür oder habe ich einen denkfehler?
 
@Balu2004: Es geht um die Web-Version des Play-Store, mit der sich auch Software installieren lässt.
Wenn man "Unbekannte Quellen" aktiviert hat, dann kann dieses Exploit sehr unschön werden...
 
@Overflow: ah ok danke für die klarstellung.
 
@Balu2004: Wieso sollte das Problem weiterhin bestehen, wenn man nicht vertrauenswürdige Quellen angibt?

Zumindest laut den hier vorliegenden Beschreibungen sieht das Problem so aus. Der Webview kann einen Link öffnen, der den PlayStore für eine Installation im Hintergrund startet und damit eine App aus dem PlayStore installieren. Das hat nichts mit dem manuellen Installationssystem zutun.
Die vermutliche Lösung von Google ist nun, der Play Store kann einfach nicht mehr im Hintergrund ohne Interaktion des Nutzers eine App installieren.

Übrigens, wenn man die Play-Services installiert hat und die Funktion nicht explizit deaktiviert, dann werden alle manuellen APK-Installationen durch Googles Virenscanner untersucht.
 
@knirps: Was ist eigentlich wenn ich Cyanogen verwende, welcher Browser ist da drauf?
 
@Knerd: Cyanogen verwendet den Stockbrowser, entwickelt diesen aber weiter. Zumindest wird der mit Sicherheitsupdates versorgt.
In CM12 hat dieser sogar das material Design bekommen.
 
@knirps: Schade das Google den gekickt hat :/ Fand den immer besser als Chrome.
 
@Knerd: Du kannst dir den Stock Browser von CM installieren. Lad dir ne aktuelle ROM runter, extrahier die browser.apk und führe sie auf deinem Gerät aus.
 
@knirps: Gut zuwissen falls ichs mal brauche ^^ Danke :)
 
@Knerd: Es hat halt den Nachteil das der Stockbrowser ohne Engine daher kommt. Er greift auf die native, in Android eingebaute, Engine zu. Sprich Technologien werden mit dem nicht mitgeliefert. Egal wie neu der Stockbrowser ist, es bleibt immer bei einer veralteten Webkit Version.
 
@knirps: Hm... Dann sollte man mal die Engine updaten :D Aber gut, Google hat, aus verständlichen Gründen, kein Interesse daran keine Software zu pushen auf der Google steht...
 
@Knerd: Das wird ja nun mit der Umstrukturierung in den Android-Versionen über 4.4 so gehandhabt. Da wird die WebView-Komponente über den PlayStore geupdated, aus diesem Grund bekommen die Versionen kleiner 4.4 auch kein Update für den WebView, weil die Komponente ab 4.4 nicht mehr mit der alten Struktur kompatibel ist.
 
@LastFrontier: Die Sicherheitslücke ist doch geschlossen worden, mit Software-Version 4.4. Ob die Hersteller jetzt das Update auf 4.4 oder auf 4.3.2 nicht ausliefern, liegt leider nicht in der Macht von Google.
 
@floerido: Ja ja - immer die bösen Herasteller. Android ist ein von Google von anfang an verhunztes Konzept. Flickschusterei und Kasperltheater und vor allem kann jeder Depp das auf ein xbeliebiges Gerät pfropfen. Weil natürlich jeder Hersteller versucht durch sogenannte Alleinstellungsmerkmale Kundschaft an sich zu binden, damit zwangsläufig zu einer katastrophalen Fragmentierung beiträgt und dann obendrein den Markt mit jedem unmöglichsten aber billigen Technoschrott zu fluten.
 
@LastFrontier: Eine Firmware ist nicht mit einem normalen PC-Betriebssystem zu vergleichen.

Wenn du krank bist, wenn gibst du da die Schuld? Das Pharmaunternehmen (Google) stellt ein verschreibungspflichtiges Medikament (Update) her, dein Arzt (Hersteller) will es dir nicht verschreiben und die richtige Dosierung nennen. Wer sorgt jetzt dafür, dass du weiter krank bist?

Natürlich könnte das Pharmaunternehmen auch ein rezeptfreies Medikament herstellen, leider ist es nur ziemlich kompliziert, weil bei vielen verschiedenen Menschen (Hardware-Kompibinationen) negative Wechselwirkungen auftreten können und jeder individuelle Dosierungen braucht.
Da gibt es natürlich verschiedene Lösungansätze, es dürfen nur noch Menschen existieren die einen gewissen Standard des Pharmaunternehmens entsprechen (= weniger mögliche Hardwarekonfigurationen) und deshalb die Medizin unbedenklich einnehmen können oder den Ärzten muss man auf die Finger hauen, damit sie dafür sorgen, dass du vernünftig versorgt wirst.
Oder der Kunde geht auf den Schwarzmarkt und besorgt sich die Medizin auf Umwegen (Custom-ROM).
 
Der nicht erklärte Kalte Krieg, WF gegen Android?

Die X´te Populistische Antipathie-Kampagne zulasten Googles.

Wenigstens wurde diesmal erklärt, das sich diese Sicherheitslücke mit der Installation und Gebrauch des "Neusten" Browsers, vollständig umgehen lässt.
Nur wieso ist Google schult, wieso muss Google Updates liefern, obwohl Rechtlich wie Vertraglich die Smartphone Hersteller dazu in Regress zu nehmen währen?
Ich nehm die beiden offensichtlichen Gründe mal vorweg, die Autoren und oder WF möchten einen anderen Softwareanbieter schonen der nämlich genau so agiert wie Google, sowie die Möglichkeit offenhalten das die eigentlich Schuldigen Geräte mit dieser Software herstellen!
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles