Nach Stagefright: Die nächste Lücke in Androids Media-Framework

Die unter dem Namen "Stagefright" bekannt gewordene Sicherheitslücke im Multimedia-Framework des Google-Betriebssystems Android sorgte offenbar dafür, dass die fragliche Software etwas genauer unter die Lupe genommen wird. ... mehr... Google, Logo, Android 4.4, KitKat, Mountain View Bildquelle: Sundar Pichai @ Google+ Google, Android, Logo, Android 4.4, KitKat, Mountain View Google, Android, Logo, Android 4.4, KitKat, Mountain View Sundar Pichai @ Google+

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Jetzt gehts los ^^
 
@dodnet: und das macht dich glücklich? Wieso das denn?
 
@hundefutter: Obwohl ich selber Android Nutzer bin, finde ich die aktuelle Frequenz an Sicherheitslücken und auch deren schwere bei Android auch ziemlich "gut". Endlich wird mal verstärkt - und auch in nicht Technik-Medien - über dieses Thema berichtet und Google und die Hersteller werden hoffentlich durch den ganzen Druck gezwungen ihre Praxis zu überdenken. Es darf einfach nicht sein, dass bei einem so wichtigen Gegenstand wie dem Smartphone (auf dem heute quasi alles gespeichert ist), es quasi keine Updatepolitik gibt und jeder Hersteller einfach macht was er will. Häufig auch einfach gar nichts sobald ein Gerät verkauft ist.
 
@terminated: Sicherheitslücken in Software? Das ist nichts neues. AOSP wird regelmässig aktualisiert, das Problem sind noch immer die Hersteller. Ich hoffe auch das sich da was ändert. Die Kritik sollte sich aber nicht an gefundene Schwachstellen richten, sondern an die Art wie damit umgegangen wird. Und da scheint Google relativ schnell einen Fix veröffentlicht zu haben. Mit dem nächsten Update wird das behoben sein.

An der Frequenz in denen Bugs gefunden werden hat sich übrigens nichts geändert. Eher an der Berichterstattung. Und das ist durchaus ok so.
 
@hundefutter:
+ für deine Antwort
Nichts anderes wollte ich mit meinem Beitrag auch sagen. Bei der Frequenz ging es mir einzig um die der Berichterstattung, die ich nur begrüßen kann. Nur so werden auch "normale" Benutzer für die Problematik sensibilisiert und es entsteht Druck auf die Hersteller (und natürlich auch auf Google die dann hoffentlich auch noch mal extra Druck bei den Herstellern machen).
 
@hundefutter: Die Kritik geht doch an die Art des Umgangs. AOSP wird zwar regelmäßig geupdatet, aber schwerwiegende Fehler und Sicherheitsrelevante Lücken werden kaum geschlossen und für alte Versionen sowieso nicht. Das ist aber nur Stufe 1 des Problems. Google selber kümmert sich nur um einen Bruchteil der Probleme. Und wiederum nur ein ganz kleiner Anteil davon, wird von den Herstellern weiter gegeben.

Und hier liegt der schwerste Fehler: Dass die Hersteller als Zwischenschritt benötigt werden!
Entweder die Hersteller werden vertraglich verpflichtet, jeden Patch innerhalb einer Frist umzusetzen und auszuliefern, oder das System muss so angepasst werden, dass eine zentrale Update Schnittstelle die Updates verteilt. Dann kann das System halt nicht mehr so extrem von den Herstellern angepasst werden!
 
@Scaver: "AOSP wird zwar regelmäßig geupdatet, aber schwerwiegende Fehler und Sicherheitsrelevante Lücken werden kaum geschlossen"

Source?

Vieles wurde bereits dezentralisiert mit den ganzen Google Services. Ein Schritt in die richtige Richtung. Es gibt massives verbesserungspotential, da gebe ich dir Recht. Aber Aussagen wie "Google selber kümmert sich nur um einen Bruchteil der Probleme." sind ohne Quelle nicht wirklich hilfreich wenn man die Problematik diskutieren will, findest du nicht?
 
@terminated: Naja, man muss es sich als Android User eben schön reden das man das mit abstand anfälligste, hässlichste und unperformanteste BS hat.
Wenn es sonst schon keine Freude verbreitet...schade das ich nicht so glücklich sein und mich über schwerwiegende Sicherheitslücken freuen kann...aber gibt nun mal keine^^
 
@hundefutter: wo behaupte ich, dass mich das glücklich macht? Ich nutze selbst Android (4.x) und bin ja auch davon betroffen ohne Hoffnung auf ein Update...
 
@dodnet: Deine Nachricht impliziert das dich das ganze amüsiert. Habe ich das falsch verstanden?
 
@hundefutter: Ja
 
@dodnet: Dann würde ich deine Emoticonnutzung etwas überdenken.
 
@hundefutter: Bei mir sind das hochgezogene Augenbrauen, egal was andere da reininterpretieren ;D
 
@dodnet: ich merks mir ?
 
@hundefutter: das ? sollte ein smilie sein aber wird wohl nicht erkannt. Die ironie ist verblüffend :-D
 
@dodnet: Und das zu einer Zeit wo MS mit den WP Marktanteile gewinnen will/muss. Zufall, oder Zusammenhang - erfahren werden wir es nicht, jedoch Spielraum für Spekulationen ist vorhanden.
 
@Zwerg7: Ich glaube nicht an einen Zufall. MS versucht stärker in den Markt vorzudringen und schafft es auch. Das bewirkt, dass immer mehr die "tollen Vorteile" von Android hinerfragen.
Denn Sicherheitsprobleme bei Android und Co. sind lange bekannt. Meist aber nur in entsprechenden Zeitschriften und Communitys. Denn für die meisten ist alles was auf Linux basiert und damit auch Android, nicht angreifbar und sicher vor Hackern, Viren, Trojanern und Co. Nun beschäftigen sich viel mehr damit und merken endlich, dass es bei weitem nicht sicher ist, sogar unsicherer als das bisher mit schlechtem Ruf behaftete Windows Phone/Mobile!
 
@dodnet: Popcorn und Bier sind am Start!
 
"Die unter dem Namen "Stagefright" bekannt gewordene Sicherheitslücke im Multimedia-Framework des Google-Betriebssystems Android sorgte offenbar dafür, dass die fragliche Software etwas genauer unter die Lupe genommen wird."

Ich würde gerne die Gedanken des Autors dazu hören, wie Stagefright, das im Juli von einer ganz anderen Person gefunden wurde, dafür sorgen konnte, dass Trend Micro Android "offenbar etwas genauer unter die Lupe nimmt", sodass sie im Juni diese Lücke finden konnten. Reicht es nicht, sich an die Fakten zu halten?

Ebenfalls wäre es interessant zu wissen, warum man hier jede Android-Lücke einzeln feiert, während über kritische Windows-Lücken kaum bis gar nicht berichtet wird. Da gabs in den letzten Monaten auch diverse Gelegenheiten. Dazu eine Lücke, bei der Microsoft hoch offiziell erklärt hat, sie nicht zu patchen. Davon konnte man hier gar nix lesen.
 
@Niccolo Machiavelli: http://winfuture.de/news,88181.html *hust*.. Ansonsten dürfte der Unterschied wohl auch darin liegen, dass bei Android die meisten Sicherheitslücken - trotz eines Patches durch Google - für eine Vielzahl von Geräten über Wochen, Monate oder für immer ungepatcht bleiben, weil einfach keine Updates durch die Hersteller bereitgestellt werden.
 
@terminated: Ich sagte ja "kaum bis gar nicht". Das war bei weitem nicht die einzige Windows-Sicherheitslücke der letzten paar Monate. Alleine beim August-Patch-Day wurden 14 Lücken mit der Einstufung von mindestens "Hoch" gestopft.
 
@Niccolo Machiavelli: Stagefright wurde bereits im April an Google gemeldet.

http://www.heise.de/security/meldung/Stagefright-Android-Smartphones-ueber-Kurznachrichten-angreifbar-2763764.html

Lief im übrigen ja richtig gut mit den 90 Tagen Zeit...
 
@Knarzi81: An Google gemeldet ja. Trotzdem: Wie hätte Trend Micro davon erfahren sollen um daraufhin "Android etwas genauer unter die Lupe nehmen" zu können.

Und zu den 90 Tagen: Da hast du (teils) Recht. Stagefright besteht aber aus zwei Lücken, wovon eine erst im Mai gemeldet wurde.
Kommentar abgeben Netiquette beachten!