Thema: Android diverses ...

[ritschibie]

Auf einem Google
Nexus mit Ice
Cream Sandwich
wird X-Ray nicht
fündig.

Das kostenlose Sicherheitstool X-Ray klopft ein Android-Smartphone auf eine Reihe von Sicherheitslücken ab, durch die Malware an höhere Rechte gelangen kann (Privilege Escalation). Dass solche Lücken vorhanden sind, ist dabei sehr wahrscheinlich: Laut Google ist nur auf rund 10 Prozent aller Geräte eine halbwegs aktuelle und sichere Betriebssystemversion (4.0 und höher) installiert. Entwickelt wurde das Tool der Firma Duo Security, die Smartphone-Sicherheitsexperte Jon Oberheide mitbegründet hat.

Nach einem Tap auf "X-Ray my device!" ("Röntge mein Gerät!") überprüft das Tool, ob und welche Exploits auf dem Smartphone erfolgreich wären. In einem ersten Test wurde der Schwachstellenscanner auf einem brandneuen Samsung Galaxy beam mit Android 2.3.6 auch prompt fündig; mit dem Gingerbreak-Exploit kann sich hier laut X-Ray jede beliebige App Root-Rechte verschaffen. Ändern kann man in einem solchen Fall jedoch nichts daran, da der Hersteller derzeit kein Update auf eine aktuelle Android-Version anbietet.

Aus diesem Grund sollte man X-Ray auch nicht als Sicherheitstool für Endanwender oder gar als Alternative zum Virenscanner verstehen. Vielmehr ist es ein Wachrüttler für Smartphone-Hersteller und -käufer, der auf ein nicht mehr ganz neues Problem aufmerksam macht: das Fehlen sicherheitsrelevanter Betriebssystemupdates. Die Entwickler der App fertigen nach eigenen Angaben anonymisierte Statistiken über die auf den Smartphone-Modellen gefundenen Schwachstellen an. Mit deren Hilfe wollen sie in Zukunft Druck auf die Netzbetreiber ausüben, damit sich diese eine Lösung für das zugrunde liegende Problem einfallen lassen.

Anders als in der Windows-Welt setzen die Programmierer von Android-Malware bislang vor allem noch darauf, dass die Smartphone-Besitzer die Schadsoftware selbst installieren. Dazu wird der Schädling etwa als bekanntes Spiel wie Angry Birds getarnt und über alternative Download-Portale oder Warez-Foren verteilt. Der Exploit kommt erst anschließend zum Einsatz, um etwa mit Root-Rechte tief greifende Änderungen am System durchzuführen. Unter Windows werden Exploits auch zur initialen Infektion des Systems genutzt; etwa wenn das potenzielle Opfer eine speziell präparierte Webseite besucht (Drive-by).

Quelle: www.heise.de

[Snoop]

Ja, Samsung und Co lassen sich SEHR viel Zeit mit neuen Betriebssystemen! Zum Glück gibt es Cyanogenmod etc. ... aber halt leider eben nur für die ganz teuren oder für schon etwas ältere Handys.
Mit meinem Ace 2 sitzte ich im Moment auf Gingerbread 2.3.6 festgenagelt. Es ist ansonsten ein echt gutes Handy, aber das versprochene ICS-Update von Samsung kommt irgendwann. Wahrscheinlich hab ich bis dahin schon Jelly Bean von Cyanogen oder einem anderen Mod ... den XDA-Developers sei Dank!

[SiLæncer]

Tja ...da mein  HTC Desire HD ja wohl doch kein Update auf ICS bekommt (wie am WE überraschender Weise  bekannt wurde)...bleibt mir wohl auch nur nen Custom ROM ....

Das Samsung Galaxy S3 würde mir ja auch gefallen ... ist mir i.M. aber noch definitiv zu teuer ...

[dada]

Ich habe vor ca 10 Tagen ein Update auf 4.03 bekommen, allerdings auf das Galaxy S2.

[Snoop]

Custom Roms für Desire HD?

Bitteschön

http://forum.xda-developers.com/showthread.php?t=1610483

[SiLæncer]

thx

[Snoop]

So, wie ich die Jungs dort kenne, gibt es auch bald ein Jelly Bean, das scheint von ICS aus nur ein kleiner Schritt zu sein. Beim Ace 2 beklagen sie sich nämlich, dass man im Prinzip erst mal ein laufendes ICS braucht, damit man ein Jelly Bean leicht draus machen kann - und das haben sie noch nicht. Es soll ja IRGENDWANN von Samsung kommen ...

[SiLæncer]

Ich hab mich nun erstmal hier dran beteiligt -> http://forum.xda-developers.com/showthread.php?t=1786479

bezüglich Custom ROM hatte ich schon mal umgesehen ...bin aber noch unentschieden ....

Aber eines weiss ich schon genau ... in Zukunft keine HTC Geräte mehr (bin echt sauer) ...wie schon geschrieben ...das neue Samsung oder vielleicht auch ein Nexus ...

[ritschibie]

Ich informiere mich jetzt schon 3 Monate über smartphones, Tablets & Co.. Was wirklich negativ auffällt ist die Update-Politik der Hersteller. Bis vor einem Monat (Ankündigung und Veröffentlichung "Jelly Bean") war "Google" der Schuldige. Jetzt sieht es eher so aus, als würden nur noch max. 1 Jahr alte Phones (und Tablets) ein upgrade bekommen, obwohl Google sehr frühzeig Sourcecodes und Developer Kits zur Verfügung stellt und hardwareseitig bei vielen Geräten kein Hindernis da ist. Mir kommt da schon der Verdacht auf: Der Kunde soll kaufen, wegschmeissen und kaufen....

Mein Favorit (Preis/Leistung auf dem Papier, wenn's mal bei <330 gelandet ist) wäre dieses hier gewesen: http://www.golem.de/news/huawei-ascend-p1-7-69-mm-duennes-smartphone-mit-android-4-0-1207-93400.html , allerdings ist die Akku-Sch... (Super-Amoled!) und Update-Unsicherheit bei diesem Gerät wieder mal ein großer Hemmschuh!

[ritschibie]

Das Testlabor AV-Comparatives hat 13 Schutzprogramme für Android-Smartphones untersucht (PDF). Dabei kam heraus, dass alle Testkandidaten zuverlässig vor 75 Virenfamilien schützen – die Erkennungsrate lag stets bei mindestens 93 Prozent. Insgesamt haben die Experten über 18.000 verseuchte Apps auf die Testgeräte losgelassen. Keines der Schutzprogramme leistete sich einen Fehlalarm. Allerdings kamen für diesen Test lediglich 200 verbreitete, gutartige Apps zum Einsatz.

Auf die Akkulaufzeit wirkt sich die Installation der Security-Apps laut dem Test nicht aus: Alle Kandidaten verringerten die Laufzeit lediglich um unter zwei Prozent. Nennenswerte Unterschiede gab es bei der Erkennung von werbefinanzierten Apps (Adware): Im Testlabor warnten Bitdefender, Eset, F-Secure, Qihoo 360, Trend Micro, TrustGo und Webroot am zuverlässigsten vor den Werbe-Apps, während Avast, Ikarus, Kaspersky, McAfee und Sophos nur einige wenige Adware-Familien erkannten. Lookout hat das Aufspüren von Werbe-Apps in den Ad Network Detector ausgelagert.

Einen weiteren deutlichen Unterschied gibt es auch bei den Preisen der Schutzprogramme: Während die überwiegende Anzahl der untersuchten Apps derzeit Freeware ist, steuerte McAfee mit Mobile Security den teuersten Testkandidaten bei – für das Programm wird eine Jahresgebühr von 30 Euro fällig.

Auch der Funktionsumfang variierte stark: Virenschutz, Fernsperrung (bei Diebstahl) und GPS-Ortung bieten fast alle, während man etwa SMS/MMS-Scanner, Firewall und Online-Backup nur einigen wenigen Programm findet. Bei vielen der Apps kann man im Fall eines Diebstahls die auf dem Smartphone gespeicherten Dateien aus der Ferne löschen. Den Experten gelang es jedoch in vielen Fällen, die gelöschten Dateien mit einem Recovery-Tool wiederherzustellen.

AV-Comparatives empfiehlt, die Wahl des Schutzprogramms danach zu richten, ob und welche dieser Schmankerl man benötigt. Eine vollständige Vergleichsmatrix findet man in dem Bericht. Wer es allein auf den Virenschutz abgesehen hat, sollte überlegen, ob er auf derartige Programme nicht komplett verzichten kann – laut AV-Comparatives ist die Gefahr, sich in westlichen Ländern mit einem ungerooteten Smartphone in den offiziellen App-Katalogen einen Schädling einzufangen nämlich noch vergleichsweise gering, was sich mit den Beobachtungen von heise Security deckt. In Asien ist die Gefahr hingegen generell höher und auch beim App-Download von inoffiziellen Download-Seiten (Side-Loading) ist man einem größeren Infektionsrisiko ausgesetzt.

Quelle: www.heise.de

[ritschibie]

Erst vor kurzem hat der beliebte SMS-Konkurrent WhatsApp eine Verschlüsselung eingeführt. Jetzt berichtete der britische Webentwickler Sam Granger, wie die Authentifizierung bei dem Webfrontend des Dienstes unter Android stattfindet: Das Programm bedient sich der eindeutigen Gerätekennung (IMEI), um daraus einen einfach regenerierbaren Schlüssel zu erzeugen.

Laut Granger verwende WhatsApp schlicht die umgedrehte IMEI und erzeuge daraus ohne weiteren "Salt " einen MD5-Hash. Da als Benutzername die Telefonnummer fungiere, könnten Angreifer die erforderlichen Daten leicht mit üblichen Android-Schnittstellen ermitteln. Ein Programm zum Ermitteln der IMEI und der Telefonnummer sei schnell geschrieben und unter falschem Vorwand bei Google Play eingestellt.

Anschließend sei es möglich, den WhatsApp-Dienst mit diesen Zugangsdaten zu nutzen, schreibt Granger weiter. Zwar gibt es offiziell keine API dafür, doch im Netz findet sich Software, die Zugang zu den WhatsApp-Webservices verspricht. Damit könnte es möglich sein, Nachrichten zu versenden, die scheinbar vom Nutzer des geknackten Accounts stammen.

Bisher gibt es noch keine Informationen, wie WhatsApp die Authentifizierung auf anderen Plattformen abwickelt. Apples iOS etwa bietet anders als Android keine offizielle Schnittstelle, mit der sich die IMEI ermitteln lässt. Die Telefonnummer, also den Benutzernamen, verschickt das Programm übrigens trotz der kürzlich eingeführten Verschlüsselung weiterhin im Klartext.

WhatsApp benutzt eine Variante des XMP-Protokolls für den Nachrichtenaustausch, das viele Instant Messenger verwenden. Die App läuft auf allen relevanten Mobil-Plattformen.

Quelle: www.heise.de

[SiLæncer]

Der beliebte SMS-Ersatz WhatsApp ist nur unzureichend vor Missbrauch geschützt, wie ein Versuch von heise Security zeigt: Mit frei verfügbaren Tools gelang es, Nachrichten im Namen fremder Nutzer zu verschicken und sogar zu empfangen. Hat sich jemand einmal Zugriff auf den Account verschafft, ist man ausgeliefert – denn aussperren kann man den Datenschnüffler derzeit nicht.

Siehe dazu bei heise Security:

    WhatsApp-Accounts fast ungeschützt

Quelle : www.heise.de

[SiLæncer]

Die FILSH Media GmbH aus Essen demonstriert momentan auf einer Webseite, wie schwer die Sicherheitslücke von WhatsApp wiegt, die trotz Bekanntheit immer noch nicht von den Entwicklern geflickt wurde und damit beweisen dürfte, dass den Betreibern in Sachen Security nicht viel am Herzen liegt, oder dass man einfach unfähig ist. Das Problem hatte ich Anfang September schon einmal beschrieben, es betrifft den Login-Mechanismus von WhatsApp.

WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf  eine nicht so gute Form der Authentifikation. WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters. Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren.

Der WhatsApp Web Client funktioniert auf eben jene Weise. IMEI oder WiFi-MAC nebst Telefonnummer eingeben und schon könnt ihr als völlig andere Person WhatsApp-Nachrichten verschicken. Es dürfte nicht allzu schwer sein, diese beide Daten bei Menschen herauszubekommen, ein paar unbeobachtete Momente reichen.

Ich habe den Spaß eben getestet und kann nur sagen: liebe WhatsApp-Entwickler, lasst euch was einfallen – allen anderen kann man eigentlich nur noch von der Benutzung abraten. Das Kuriosum: die Webseite bietet etwas an, was sich viele Nutzer von WhatsApp wünschen: die Nutzung im Browser.

Quelle: Caschys Blog

[SiLæncer]

Anscheinend als Reaktion auf die von heise Security demonstrierten Sicherheitslücken geht WhatsApp jetzt gegen den Entwickler einer Bibliothek vor, die Funktionen zum Nutzen des Chat-Services via PC bereitstellt. Der Autor hat seinen Quellcode daraufhin aus dem Netz genommen.

Allerdings hat der beliebte SMS-Ersatz WhatsApp nach wie vor ein schwerwiegendes Sicherheitsproblem: Ohne großen Aufwand kann man die Accounts anderer Nutzer übernehmen und Nachrichten im fremden Namen senden und empfangen. Geändert hat sich daran bislang nichts – heise Security konnte den Test am heutigen Dienstagnachmittag problemlos wiederholen.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

Peinliche Konsequenz
mangelhafter
Verschlüsselung: Wegen
einer gefälschten Signatur
will sich die Antiviren-Soft-
ware selbst löschen.
Bild:  Fahl, Harbach,
Muders, Smith,
Baumgärtner, Freisleben

Bei einer Analyse von Android-Apps, die Verschlüsselung einsetzen, fanden Forscher katastrophale Zustände vor: Mehr als 1000 der 13.500 populärsten Apps zeigten Anzeichen für eine fehlerhafte und unsichere Implementierung der SSL/TLS-Verschlüsselung. Tests mit 100 ausgewählten Apps bestätigten, dass davon immerhin 41 anfällig für konkrete Angriffe waren. Dabei fielen den Forschern außer Bank- und Kreditkartendaten auch Zugangs-Tokens für Facebook, E-Mail-Konten und Messaging-Services in die Hände.

In einem besonders plakativen Test schoben die Forscher Zoner AntiVirus für Android eine gefälschte Signatur unter, die auf die App selbst passte. Daraufhin stufte die sich auch prompt selbst als Bedrohung ein und bot die eigene Löschung an.

Die Forscher untersuchten zunächst den Code der Apps statisch nach typischen Anzeichen für unzureichende Überprüfung der Zertifikate, die die Identität des Kommunikationspartners bestätigen müssen. Da nicht eindeutig klar ist, ob der dabei gefundene Code tatsächlich zum Einsatz kommt, führten sie danach explizit Man-In-The-Middle-Attacken durch, um die verschlüsselte Verbindung aufzubrechen.

Die dabei gefundenen Anfälligkeiten lassen sich in zwei Kategorien einteilen: 20 Apps akzeptierten einfach jedes Zertifikat. 21 weitere kontrollierten zwar, ob das Zertifikat eine gültige Unterschrift trägt, nicht jedoch, ob es auf den richtigen Namen ausgestellt ist. So konnten die Sicherheitsexperten mit einem gültigen Zertifikat für einen eigenen Server die Antiviren-Software narren. In einem c't-Test entdeckte heise Security vor zwei Jahren das gleiche Problem bei der iPhone-App S-Banking.

Die Forscher von der Leibniz Universität in Hannover und der Phillips Universität Marburg fassen ihre Erkenntnisse in dem Paper Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security zusammen. Das für die Code-Analyse entwickelte Tool MallaDroid wollen sie demnächst veröffentlichen. Welche Apps konkret betroffen sind, verraten sie jedoch nicht. Aber anscheinend handelt es sich dabei nicht um Exoten: Immerhin 40 bis 185 Millionen Installation weist Google Play für die von den Lücken konkret betroffenen Apps aus.

Quelle: www.heise.de