Thema: Android diverses ...

[SiLæncer]

Eine Sicherheitslücke in Androids KeyStore-Prozess erlaubte es Angreifern, geheime Schlüssel auszulesen und mit den Kryptofunktionen des Gerätes Schindluder zu treiben. Die Lücke wurde mit Android 4.4 geschlossen.

Sicherheitsforscher haben im letzten Jahr eine Lücke in der Schlüsselverwaltung von Android gefunden (CVE-2014-3100). Die Lücke wurde vertraulich an Google gemeldet und bereits mit Android 4.4 geschlossen. Alle Android-Versionen die älter sind, sind angreifbar, allerdings gibt es bisher keine Berichte über konkrete Angriffe. Durch einen Pufferüberlauf kann ein Angreifer Schadcode ausführen und geheime Schlüssel auslesen, sowie die Kryptofunktionen des Gerätes manipulieren.

Das Ausnutzen der Lücke in Androids KeyStore-Prozess ist nicht trivial. Der Sicherheitsforscher von IBM, der mit seinem Team das Problem entdeckt hat, schreibt, dass ein Angreifer sowohl Data Execution Prevention (DEP), Speicherverwürfelung (ASLR) und weitere Sicherheitsvorkehrungen umgehen müsste, um einen erfolgreichen Angriff durchzuführen. Das ist allerdings durchaus im Bereich des Möglichen.

Die Lücke wurde am 9. September an Google gemeldet und am 11. November geschlossen. Die Forscher haben bis heute mit der Veröffentlichung der Lücke gewartet, da es wegen der Zersplitterung des Android-Marktes mitunter sehr lange dauere, bis entsprechende Updates auch bei den Nutzern landen. In der Beschreibung der Lücke bedankt sich das IBM-Team ausdrücklich beim Sicherheitsteam von Android für einen effizienten Umgang mit dem Problem.

Quelle : www.heise.de

[SiLæncer]

Google will in Zukunft einige Sicherheitslücken in Android über die Google Play Services schließen statt per Android-Update. Mit Android L sollen zudem die Einstellungen für Sicherheit und Privatsphäre zentral zusammengefasst werden.

Nur eine Folie dauerte das Thema Sicherheit auf der Google I/O, die hat es jedoch in sich. Zukünftig will Google bestimmte Sicherheitslücken über die Google Play Service stopfen und nicht mehr ausschließlich per Android-Update. Damit würde Google zumindest teilweise ein zentrales Probleme von Android lösen, denn abgesehen von der Nexus-Serie müssen die meisten Android-Geräte lange oder gar vergeblich auf Updates warten.

Entsprechend offen stehen ältere Geräte Angriffen gegenüber. Details zum künftigen Vorgehen nannte Android-Chef Sundar Pichai nicht. Gepatcht werden jedoch wohl nur Lücken, die die Kommunikation mit den Google-Diensten betreffen, das aber spätestens innerhalb von 6 Wochen – so oft will Google die Play Services aktualisieren. Ältere Versionen dürften davon auch profitieren: Laut Google hätten 93 Prozent der Android-Nutzer die aktuelle Version von Play Service installiert. Android-Geräte ohne installierte Play Services und damit ohne Google dürften aber in Zukunft stärker benachteiligt sein.

Auch anderweitig will Google für mehr Sicherheit sorgen. Mit Android L werden die Einstellungen Sicherheit und Privatsphäre im Menü "Universal Data Controls" zusammengefasst. Darüber lasse sich laut Pichai unter anderem die Weitergabe von Bewegungsdaten kontrollieren. Bereits vor der Google I/O durchgesickert war die Ankündigung, dass sich Android-Geräte in Zukunft auch aus der Ferne zurücksetzen lassen können. Der Kill Switch soll den Diebstahl der Geräte unattraktiv machen.

Quelle : www.heise.de

[SiLæncer]

Android verrät über WLAN, wo sich der Nutzer aufgehalten hat – selbst dann, wenn sich das Gerät im Standby-Modus befindet. Dies ist das Ergebnis einer aktuellen Untersuchung der Electronic Frontier Foundation.

Mobilgeräte mit WLAN verraten mehr über die Lebensgewohnheiten ihrer Nutzer, als vielen bewusst sein dürfte. Die Electronic Frontier Foundation hat mehrere Plattformen und Geräte untersucht und ist bei Android auf Nachholbedarf in puncto Datenschutz gestoßen.
Datenpetze Android

Smartphones und Tablets mit Android-Betriebssystem scannen intervallartig nach WLANs, in die sie schon mal eingebucht waren. Dabei senden sie in einigen Fällen die Netzwerknamen über den Äther. Diese speziellen WLAN-Pakete, die sogenannten Probe-Requests, kann jeder in Funkreichweite mitschneiden und somit feststellen, wo sich der Besitzer des Geräts aufgehalten hat; insbesondere dann, wenn die Netzwerke eindeutige Namen (SSIDs) wie "Firma XY", "Hauptbahnhof Hannover" oder "Cafe Müller" tragen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Ob und wie oft man WhatsApp öffnet, will man unter Umständen lieber für sich behalten. Der Betreiber macht diese Information allerdings für jedermann zugänglich, der die Nummer kennt. Selbst, wenn man dies in den Datenschutz-Einstellungen deaktiviert hat.

WhatsApp hat ein Datenschutzproblem: Selbst wenn man alle Datenschutz-Optionen ausreizt, verrät der Messenger den Online-Status seines Nutzers – und zwar jedem, der die Rufnummer kennt. Wer den Status langfristig aufzeichnet, kann mühelos auf das Nutzungsverhalten und potenziell sogar auf den Tagesablauf des Überwachten schließen.

Schnüffeln ohne Erlaubnis

Um den Online-Status einer beliebigen Rufnummer abzurufen, muss man diese lediglich zu den Kontakten hinzufügen und ein Chat-Fenster öffnen. Der Besitzer der Rufnummer bekommt davon nichts mit und muss auch nichts bestätigen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Ein Passwort für alle Dienste, ohne jedoch überall das gleiche zu nutzen – Master Password macht es möglich. Android-Nutzer können mit einer weiteren App davon profitieren, die an das iOS-Vorbild angelehnt ist.

Eine weitere App bringt das Master-Password-Konzept auf die Android-Plattform: Das von David Kunzler entwickelte Master Password for Android erinnert stark an die Original-App, diese ist bislang jedoch nur für iOS erhältlich. Die Android-App nutzt den gleichen Algorithmus, die von ihr generierten Passwörter sind also identisch.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Mit steigenden Marktanteilen wurde Android auch zum lohnenswerten Ziel für kriminelle Programmierer und Hacker. AV-Test, ein deutscher Anbieter für IT-Sicherheitstests und Dienstleistungen hat jetzt 32 Security-Apps für Android auf ihre Nützlichkeit getestet.

Android ist einfach sicher zu machen

AV-Test kommt bei seiner umfassenden Überprüfung von Sicherheits-Apps zu einem durchaus beruhigenden Ergebnis für alle Android-Nutzer: Wer Sicherheitssoftware auf seinem Smartphone oder Tablet einsetzt, kann sich damit ohne großen Aufwand vor fast allen ungewollten Zugriffen und bösen digitalen Überraschungen schützen. Für ausreichende Sicherheitsmaßnahmen muss man nach Meinung der professionellen Tester nicht unbedingt bezahlen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

WhatsApp verschlüsselt. Und zwar nicht irgendwie – sondern mit der Ende-zu-Ende-Verschlüsselung des von Experten und Datenschützern hoch geschätzten Messengers TextSecure.

WhatsApp ist die meistgenutzte Messaging-App und auf dem besten Weg die SMS aufs verdiente Altenteil zu schicken. Doch in Bezug auf Sicherheit und Privatsphäre ist WhatsApp immer wieder in die Kritik geraten. Insbesondere die fehlende Verschlüsselung der Kommunikation war Datenschützern und Sicherheitsexperten ein Dorn im Auge. Das soll sich jetzt ändern: WhatsApp soll die Ende-zu-Ende-Verschlüsselung des Open-Source-Messengers TextSecure von Open Whisper Systems bekommen.

Was die Verschlüsselung angeht ist TextSecure derzeit State-of-the-Art und unter Experten hoch angesehen. Das Protokoll ist speziell auf die Anforderungen von Messaging zugeschnitten, der Code ist Open Source und die Protagonisten rund um Moxie Marlinspike gelten allgemein als äußerst kompetent und integer.

Seit einem halben Jahr arbeitet WhatsApp bereits mit Open Whisper Systems zusammen, um die Krypto-Infrastruktur von TextSecure zu integrieren. Die Android-Versionen sollen dessen Ende-zu-Ende-Verschlüsselung schon beherrschen und "täglich bereits Milliarden verschlüsselte Nachrichten austauschen" heißt es in einem Blog-Beitrag von Open Whsiper Systems. In weiteren Ausbaustufen sollen verschlüsselte Gruppen-Chats und die anderen Betriebssysteme folgen.

Auch im jüngsten Messenger-Vergleich von c't war TextSecure in Bezug auf Sicherheit und Verschlüsselung das, was man eigentlich haben möchte. In Kombination mit der einfachen Benutzbarkeit und der Anwenderbasis von WhatsApp ergibt das ein Dream-Team. Und auch wenn Kritiker jetzt sicher mahnend auf den Daten-Riesen Facebook im Hintergrund hinweisen werden: Das ist ein riesiger Schritt in die richtige Richtung.

Quelle : www.heise.de

[SiLæncer]

Eine Kernkomponente von Android wird auf Geräten mit älteren Versionen nicht mehr mit Patches versorgt. Dabei ist vor allem deren Standardbrowser Einfallstor für Angreifer.

Google will Sicherheitslücken im bis Android 4.3 genutzten Standard-Browser von Android – genauer gesagt in dessen WebView-Komponente – nicht mehr stopfen. Als Grund gibt das Android-Sicherheitsteam an, dass Google keine Drittanbietergeräte mehr zertifiziert, die den alten Browser als Standard verwenden. Aktuell sind dem Sicherheitsexperten Tod Beadsley elf mögliche Angriffspunkte im WebView-Modul bekannt, wie dieser in einem Metasploit-Blog-Posting mitteilte. In der Vergangenheit wurden derartige Schwachstellen immer wieder für Angriffe genutzt.

Das Webview-Modul ist die Kernkomponente des alten Browsers mit dem blauen Weltkugel-Icon. Doch auch andere Apps setzen die Komponente ein und vergrößern so das Risiko eines Angriffs. Mit Android 4.4 wurde das Modul gegen eine auf Chromium aufbauende, überarbeitete Variante ausgetauscht und Chrome als Standard-Browser eingestellt. Google zufolge sind aber noch fast 61 Prozent der sich im Umlauf befindlichen Android-Geräte von den Sicherheitslücken betroffen, denn erst 39 Prozent haben Android 4.4 oder höher installiert.

Wer seine Android-Version nicht updaten will oder aufgrund von Restriktionen kann, sollte auf einen alternativen Browser umsteigen, etwa die aktuelle Chrome-Version. Auf alle Webview-basierten Apps zu verzichten ist wiederum praktisch unmöglich, denn die Komponente wird in der Regel auch für Werbeeinblendungen genutzt und derartig finanzierte Anwendungen wären nicht nutzbar. Anwender von Android 5.0 haben zudem die Möglichkeit, die Webview-Komponente selbstständig zu aktualisieren.

Quelle : www.heise.de

[SiLæncer]

Android-Smartphones können aus dem lokalen Netz zum Reboot gezwungen werden. Google weiß seit September von der Lücke, scheint aber nicht sonderlich daran interessiert, einen Patch zu liefern.

Ältere Versionen des Android-Betriebssystems enthalten eine Schwachstelle im WLAN-Treiber, durch die ein Angreifer das Gerät unter bestimmten Umständen zum Absturz bringen kann (CVE-2014-0997). Laut einem Bericht der Sicherheitsfirma Core Security tritt das Problem ausschließlich im WiFi-Direct-Modus auf, also bei Ad-hoc-Verbindungen zwischen zwei Geräten ohne Access Point. Google weiß seit September von der Lücke und schätzt deren Schweregrad als "niedrig" ein. Ob die Firma die Lücke überhaupt stopfen will, ist nicht bekannt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Google kämpft in seinem App-Store gegen eine neue Betrugsmasche: Dabei legen sich Apps auf die Lauer und erst nach einer Inkubationszeit von bis zu 30 Tagen nerven sie Nutzer mit Werbeeinblendungen. Diese verlinken wiederum auf betrügerische Seiten.

Google sieht sich in seinem App-Store erstmals mit Adware-Apps konfrontiert, die Android-Nutzer erst nach einem gewissen Zeitraum mit Werbeeinblendungen belästigen. Das hat ein Nutzer im Forum der Virenschutz-Entwickler von Avast herausgefunden.

Einem Eintrag des Virenforschers Filip Chytry im Avast-Blog zufolge legen sich die Apps bis zu 30 Tage auf die Lauer, bevor die Werbeeinblendungen auftreten. Gemäß Chytry sei zur Aktivierung noch ein Neustart des Gerätes nötig.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Wer ein Smartphone oder Tablet mit Android 4.3 oder älter nutzt, lebt gefährlich. Einmal mehr demonstriert dies ein neuer Exploit, der beim Aufruf einer Webseite ungefragt Apps auf das Gerät schmuggelt. heise Security hat das mal ausprobiert.

Durch zwei Sicherheitslücken war es möglich, Webseiten zu erstellen, die ungefragt beliebige Android-Apps aus Google Play installieren. Die erste Lücke ist eine alte Bekannte: Die Webbrowser-Komponente von Android bis einschließlich Version 4.3 ist anfällig für das sogenannte Universal Cross-Site-Scripting (UXSS). Dadurch kann eine bösartige Webseite eine beliebige andere Website fernsteuern. Die Angriffsseite könnte etwa einen Webmail-Dienst in einem unsichtbaren Frame laden und auf die Mails des Opfers zugreifen – vorausgesetzt, das Opfers ist bei dem Dienst eingeloggt, wenn es die bösartige Seite aufruft.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Der WebView-Bug von Android 4.3 könnte sich stärker auswirken als bisher bekannt. Auch wenn die Angriffsszenarien bisher nur theoretische Proof-of-Concepts sind, sollten Sie ein paar Vorsichtsmaßnahmen ergreifen.

Android nutzt bis einschließlich Version 4.3 eine alte Browser-Komponente mit vielen Sicherheitslücken, die Google nicht mehr ausbessern möchte. Problematisch daran ist, dass erstens nicht nur Browser diese Komponente nutzen, sondern auch viele Apps. Zweitens tauchen neue Angriffsszenarien auf, die auch unverdächtige Apps gefährden. Noch nutzt niemand diese Lücken aus, doch Besitzer von Smartphones und Tablets mit Android 4.3 oder älter sollten sich zumindest ein paar Gedanken über Abhilfen machen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Viele Android-Geräte werden durch eine Sicherheitslücke bedroht, die es Angreifern erlaubt, vertrauliche Daten abzugreifen. Ob Ihr Gerät angreifbar ist, finden sie mit einem Test von c't heraus.

Mit dem Android-Test der c't können Sie überprüfen, ob Ihre Android-Geräte für eine Sicherheitslücke im Browser anfällig sind. Schlägt der Test an, ist die Wahrscheinlichkeit groß, dass Sie der Hersteller im Regen stehen lässt und auch andere Sicherheitslöcher nicht zeitnah stopft.

Sicherheitslücken

In vielen älteren Android-Versionen klaffen Sicherheitslücken, die für den Nutzer dramatische Folgen haben können: Ruft man eine verseuchte Webseite auf, können Angreifer auf persönliche Daten zugreifen und das Smartphone oder Tablet sogar in eine Wanze verwandeln. Zwar werden die Lücken bislang noch nicht ausgenutzt, das kann sich aber jederzeit ändern. Deshalb sollte man vorbereitet sein und wissen, wie es um die Sicherheit der eigenen Android-Geräte bestellt ist.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Durch einen Trick könnte eine bereits installierte App einen bösartigen Trojaner auf Android-Geräten platzieren – ohne dass der Anwender das bemerkt oder ihr irgendwelche Rechte einräumen müsste.

"Was Sie checken, ist nicht unbedingt das, was Sie dann auch installieren" – so lässt sich die Lücke zusammenfassen, die laut Palo Alto rund 50 Prozent aller Android-User betrifft. Wenn man eine Android-App aus dem App-Store eines Dritt-Anbieters installiert, zeigen einem die Installations-Routinen von Android eine Beschreibung der App und die von ihr angeforderten Rechte an. Tauscht währenddessen eine App im Hintergrund das Installer-Paket gegen ein anderes aus, installiert Android beim Tap auf "Installieren" allerdings ohne weitere Nachfragen die untergeschobene App mit allen Rechten, die diese anfordert.

Der Trick funktioniert nur mit Apps, die aus Dritt-Anbieter-Quellen oder direkten Downloads installiert werden, da diese ungeschützt auf dem Gerät liegen. Apps aus dem Google Play Store landen in einem speziell geschützten Speicherbereich, auf den andere Apps keinen Zugriff haben. In Android 4.3 hat Google einen zusätzlichen Test eingebaut, der das Installationspaket zum Zeitpunkt der Installation nochmal überprüft. Ein zwischenzeitliches Ersetzen des Pakets wird dadurch verhindert.

Laut dem Android-Dashboard betreiben rund die Hälfte aller Android-Nutzer ihre Geräte noch mit Versionen bis maximal 4.2. Darüber hinaus hat Palo Alto auch einige Geräte mit Android 4.3 entdeckt, die den Test offenbar doch nicht enthalten. So erwies sich in konkreten Tests ein Samsung Galaxy S4 trotz Android 4.3 noch als anfällig. Ab Version 4.4 gelang es jedoch nicht mehr, das Problem auszunutzen.

Wer sich also vor solchen heimlichen Installationen schützen möchte, sollte sein Gerät sofern möglich mindestens auf Android 4.3, besser sogar 4.4 aufrüsten. Wer an eine ältere Android-Version gebunden ist, sollte die Option zur "Installation aus nicht vertrauenswürdigen Quellen" abschalten und sich auf die Installation von Apps aus dem Google Play Store beschränken. Damit geht man auch vielen der anderen Gefahren, die Android-Geräten drohen elegant – also ohne zusätzlichen Virenschutz – aus dem Weg.

Palo Alto hatte das Problem nach eigenen Angaben bereits im Januar 2014 entdeckt und kurz darauf Google gemeldet. Der daraufhin im März vergangenen Jahres entwickelte Android-Patch wies auch weitere interessierte Parteien deutlich auf dieses Sicherheitsproblem hin. Warum Palo Alto diese Sicherheitslücke erst jetzt – also über ein Jahr später – einer breiteren Öffentlichkeit bekannt macht, erklärt das Unternehmen nicht.

Quelle : www.heise.de

[SiLæncer]

Wer sein Android-Smartphone verkauft hat, muss befürchten, dass trotz gelöschten Gerätespeichers noch private Daten wie etwa Nachrichten und Log-in-Daten im Speicher schlummern, die unter Umständen wiedergehergestellt werden können.

Die Werks-Reset-Funktion von rund 500 Millionen Android-Geräten soll nicht verlässlich arbeiten. Einer Studie von Forschern der Cambridge University zufolge lassen sich gelöschte Daten in vielen Fällen rekonstruieren. Bei rund 630 Millionen Android-Geräten gehen sie zudem davon aus, dass Daten von SD-Karten im Zuge des Werksresets nicht vollständig gelöscht werden.

Der ganze Artikel

Quelle : www.heise.de