Enttäuscht von Android

Ich hab da mal was um ein bissel öl ins feuer zu kippen und an die lustigen googleverfechter hier: erst denken dann andere dumm machen!

so sicher ist euer google@android mit Googles Einfluss auf Android-Handys

Nach Erkenntnissen des Sicherheitsexperten Jon Oberheide erlaubt das Smartphone-Betriebssystem Android noch weiter reichende Eingriffe des Systemherstellers, als die mit der Möglichkeit zum ungefragten Löschen installierter Apps schon bekannt war. Demnach unterhalten Android-Geräte über den Dienst GTalkService eine permanente Verbindung zu Googles GTalk-Servern, um von dort ausgestrahlte Push-Meldungen zu empfangen und verarbeiten.

Auf diesem Nachrichtenkanal kann Google – so Oberheide – nicht nur Aufrufe der Funktion REMOVE_ASSET verschicken, die dann ohne Anwendermitwirkung eine App vom Gerät löschen, sondern auch ungefragt die Funktion INSTALL_ASSET anstoßen, die dann autonom ein neues Stück Software auf dem Gerät einrichtet.

Oberheide sieht in der Möglichkeit, ein Systemanbieter könnte ihm ungenehme Anwendungen auf den Geräten der Kundschaft löschen, noch nicht einmal das größte Risiko. Immerhin hat Google diese Gelegenheiten bisher ausschließlich genutzt. um Demo-Programme mit Exploits von Sicherheitslücken aus dem Verkehr zu ziehen. Apple hat offenbar vergleichbare Möglichkeiten zum "Putzen" von iPhones, davon aber anscheinend bislang noch keinen Gebrauch gemacht.

Sollte es indes einem Angreifer gelingen, sich als Man-in-the-Middle in besagte GTalk-Verbindungen von Android-Phones einzuklinken, könnte er durch das heimliche Aufspielen von Malware einen erheblichen Schaden verursachen, erklärt Oberheide.

Insofern stellt sich die Situation bei Android-Smartphones mit einem theoretischen Malware-Risiko durch die vorgesehenen Systemverbindungen genau andersherum dar wie bei Apples iPhones. Dort sind bereits real kursierende Internet-Würmer bekannt, die allerdings nicht durch die serienmäßigen Connections des iPhone-OS zum Zuge kamen, sondern im Gegenteil durch Anwenderaktivitäten nach einem sogenannten Jailbreak, also dem von Apple unerwünschten Aufweichen dieser Serververbindung. Eine Sicherheitslücke, iPhones von außen per SMS anzugreifen, hat Apple nach dem Bekanntwerden zügig unterbunden.

Google löscht Android-App auf Smartphones aus der Ferne

Erstmals hat Google von der Möglichkeit Gebrauch gemacht, über die in Android implementierte Sicherheitsfunktion "Remote Application Removal" Apps auf Smartphones von Anwendern zu löschen. Konkret handelte es sich um zwei Anwendungen von Sicherheitsforschern von TippingPoint, die die Apps in Umlauf gebracht hatten, um zu zeigen, wie leicht sich eine bösartige Anwendung auf Tausenden von Android-Smartphones und per Jailbreak modifizierten iPhones bringen lässt.


Die Forscher hatten die Anwendungen zwar bereits aus dem Android Market entfernt, offenbar hatten aber immer noch einige Anwender die Apps installiert, weshalb sich Google nun veranlasst sah, diese aus der Ferne zu löschen. Anwender erhalten in solchen Fällen eine Benachrichtigung. Google weist aber darauf hin, dass die nun entfernten Anwendungen keinen Schaden angerichtet haben und dafür auch nicht entwickelt wurden.

Auch andere Anbieter mobiler Geräte halten sich die Option für die Fernlöschung offen oder haben sie bereits angewendet. Amazon hatte Mitte 2009 die Kindle-eBooks "1984" und "Animal Farm" des britischen Schriftstellers George Orwell gelöscht, weil der Vermarkter die Lizenzrechte nicht besaß. Nach einem Sturm der Entrüstung beteuerte Amazon, dass das Unternehmen künftig auf solche Löschungen verzichten werde. Auch Apple hat beim iPhone die Möglichkeit, installierte Anwendungen nachträglich zu löschen, hat diese aber bislang noch nie genutzt.

Ivh bezweifle das ne man in the middle attacke so einfach geht, da wird google schon den transfer der daten so geschützt haben das die befehle nur von bestimmten servern etc kommen, mit dem richtigen kryptografie verfahren etc ist es ziemlich unmöglich vorzutäuschen man wäre der google server. Auserdem ist es ein sicherheitsfeature, damit kann google apps die schädlich sind löschen und schützt und somit. Wie immer gilt man kann vorher auch die terms of services lesen bevor man sich ein handy mit android kauft. Dann weiß man vorher das es diese möglichkeiten gibt und muss nicht nachher weinen.

Ich hatte viele Jahre Telefone mit Windows Mobile (zuletzt WM 6.5). Bis auf die Tatsache, daß das Softwareangebot nicht sehr üppg war, war ich immer sehr zufrieden. Man konnte auch sebst viel in der registry "rumbasteln". WM 7 begeistert mich überhaupt nicht (keine eigenen Klingeltöne, keine Synchronisation mit Outlook etc.).
Bin jetzt auf Android umgestiegen (HTC Desire HD und Desire Z) und bin vollauf begeistert. Es gibt für fast jeden Verwendungszweck gute und kostenlose Programme. Ich habe den Umstieg in keinster Weise bereut!

Hey,

also ich kann jetzt ein bisschen aus der Weihnachtserfahrung sprechen:
Eine bekannte von mir hat jetzt auch das Galaxy S bekommen und mit Froyo läuft das Ding mittlerweile so gut, dass man es out of the box sofort verwenden kann. Keine Lags mehr, funktioniert echt gut. Das war bei mir im Juli noch nicht der Fall leider. Also kann man schon behaupten, dass das Galaxy S auch für nicht technisch begabte und interessierte ein Smartphone ist.
Und das Android Handys auch so richtige Geek Handys sein können, brauch' ich ja wohl nicht mehr zu erwähnen.

Über mangelende Sicherheitsmaßnahmen seitens Google, kann ich nicht wirklich gute Auskunft geben. Klar kenne ich die üblichen "Lücken", ob gewollt oder ungewollt, aber was da wirklich dahinter steckt, mag denk ich nur ein Google Mitarbeiter wirklich erklären. Und wer jetzt denkt, dass da Apple oder Microsoft oder sogar Samsung mit Bada oder Nokia irgendetwas anders oder besser machen, der glaubt wohl wirklich auch noch, dass Nordkorea eine Demokratie ist. Ich denke, da bleibt sich kein Hersteller irgendetwas schuldig.

swg

Zitat von qvert

Ivh bezweifle das ne man in the middle attacke so einfach geht, da wird google schon den transfer der daten so geschützt haben das die befehle nur von bestimmten servern etc kommen, mit dem richtigen kryptografie verfahren etc ist es ziemlich unmöglich vorzutäuschen man wäre der google server. Auserdem ist es ein sicherheitsfeature, damit kann google apps die schädlich sind löschen und schützt und somit. Wie immer gilt man kann vorher auch die terms of services lesen bevor man sich ein handy mit android kauft. Dann weiß man vorher das es diese möglichkeiten gibt und muss nicht nachher weinen.

man in the middle ist doch eigentlich nix anderes als an nem pc egal auf welche art zu sniffen und wie leicht das geht wird sicher auch jedes Skriptkiddie wissen, dabei muss ich auch keinem vortäuschen welcher server ich bin. man sitzt ja eben in der mitte und muss nur noch die daten auswerten, danach kann es dann los gehen mit der dazu passenden attacke.
das es nur ein "sicherheitsfeature" ist zu glauben gibt mir echt zu denken, daran sieht man aber wieder wie leicht man menschen sicherheit vortäuschen kann um seine eigenen interessen verfolgen zu können und das in aller ruhe
die terms of services lesen ist auch eine recht komische art von sicherheit denn da steht nur was du wissen sollst und nicht das was du wissen willst! achja weinen tu ich nich ich finde es nur traurig wie wenig sich der eine oder andere auskennt und meint man weis alles und müsse etwas verteidigen wo es nichts zu verteidigen gibt.



@flachzange1987
Und wer jetzt denkt, dass da Apple oder Microsoft oder sogar Samsung mit Bada oder Nokia irgendetwas anders oder besser machen, der glaubt wohl wirklich auch noch, dass Nordkorea eine Demokratie ist. Ich denke, da bleibt sich kein Hersteller irgendetwas schuldig.

mehr als zustimmen kann ich hier nicht...

Zitat von danissimo

man in the middle ist doch eigentlich nix anderes als an nem pc egal auf welche art zu sniffen und wie leicht das geht wird sicher auch jedes Skriptkiddie wissen, dabei muss ich auch keinem vortäuschen welcher server ich bin.

du solltest deine kenntnisse bzgl Zertifikaten etc nochmal auffrischen ... bei einer stinknormalen unverschlüsselten verbindung is mitm in der tat simpel ... aber bei ssl verbindungen muss du erstmal die entsprechenden zertifikate haben etc ... das schafft definitiv kein scriptkiddie ... und auch kein Profi ....

genau das mein ich ja, ich glaube kaum das es so einfach sein wird dem gerät vorzugaukeln man wäre der google Server, das ging vielleicht vor 10 Jahren mal aber heutzutage sollte das so sicher sein durch bestimmte authentifizierungs verfahren etc das es kaum machbar ist, damit will ich nicht sagen das niemand es schaffen wird, aber die Chance das es passiert sollte ziemlich gering sein.

und ich meinte übrigens nicht dich mit dem weinen, und ja ich kenn mich in der IT aus und weiß wie man in the middle attacken etc ablaufen und das ist bei ner verschlüsselten Verbindung einfach ohne die Schlüssel nicht machbar und die wird google ja nicht rausrücken

edit: das ganze wird sowieso ne asymettrische verschlüsselung sein, also ist die Chance das ganze zu knacken schwindend gering solang die Computer nicht deutlich schneller werden etc. Außerdem kann man dann immernoch die Bitzahl des Schlüssels verändern und solange der algorithmus nicht bekannt wird oder irgendwo ne Sicherheitslücke entsteht wird es nicht passieren, da bin ich felsenfest von überzeugt

und nur als hinweis, man in the middle bedeutet nicht das man den "Client" sniffed sondern den netzwerk verkehr von Client A zu Client B mitschneidet / manipuliert ... wenn die Daten hierbei aber halt verschlüsselt sind dann bringt dir das ganze alles garnichts

ich sehe das alles etwas anders, aber lasse mich gern eines besseren belehren.
ich weiche mal schnell etwas ab und beziehe das mal auf normale pc systeme und kein handy
aber großartig anders ist es ja auch nicht:

2 Laptops
auf einem BT4 final auf dem anderen Windows XP.


Das Ergebnis ist unterschiedlich, manche Seiten haben komplett versagt, andere nur versagt und eine hat sich wacker geschlagen!


Total versagt hat:

Meine Volksbank: Sowohl die Kontonummer, als auch das Passwort wurde im Klartext angezeigt ;-/
Noch dazu war ein Einloggen möglich, sodass es nur am fehlen des HTTP"s" erkennbar war, dass hier was faul sein könnte.

Sieht im LOG etwa so aus:

2010-08-19 01:19:10,093 SECURE POST Data (internetbanking.gad.de): tk=-1(unkenntlich gemacht)ktNr=HIER MEINE KONTONUMMER&KktTxtPwSbEg=HIER MEIN PASSWORT
2010-08-19 01:19:10,911 Read From Server:

Total versagt hat auch Ebay:
Sowohl Benutzername, als auch Passwort im Klartext und ein Einloggen war möglich.

Total versagt haben auch web.de sowie gmx.de
Passwort und Benutzername im Klartext und Einloggen möglich!

Klar, studivz.de reiht sich auch ein, Passwort und Login im Klartext sowie problemloses, sogar sehr schnelles Einloggen.

SO, nun zu paypal:
Hier 3 Anmerkungen:

1. Es dauert recht lange, bis sich die Seite aufbaute!
2. Nach Eingabe der Mailadresse und des Passwortes klappte KEIN Einloggen am angegriffenen PC!
3. Ich hab als Sonderzeichen folgendes Symbol im Passwort: $ also Dollarzeichen.
Dieses Zeichen wurde nicht im LOG mit $ angezeigt sondern mit den Zahlen "24".

Gut wenn man das weiß oder aber solche Zeichen nicht im Passwort hat, dann auch paypal kein Problem.

Bei Amazon.de auch Passwort und Mailadresse im Klartext, aber kein Einloggen möglich!

Bei Googlemail:
....tmpl=googlemail&ltmpl=googlemail&scc=(unkenntl ich gemacht)l0Nc&Email=MEINE MAIL&Passwd=MEIN PASSWORT&PersistentCookie=yes&rmShown=1&signIn=Anmelden&as ts=

positiv: Einloggen war NICHT möglich am angegriffenen PC!

Einzig bei der Diba, kam ich nicht zum Zuge.
Das Login zum Banking brauchte ewig zum laden.
Die Seite die sich dann öffnete war total zerstückelt.
Wer nun dennoch so dumm ist hier Kontonummer und Passwort einzugeben, ist selber Schuld.

Das Passwort u. die Kontonummer wurden übrigens auch im Klartext übermittelt, allerdings kommt bei der Diba noch eine weitere Seite, bei der nur bestimmte Zahlen aus einem persönlichen Code eingegeben werden müssen.
Diese Seite erschien nicht!

Somit hat die Diba bei meinem Test als einzige bestanden!

Letzte Anmerkung:

Getestet habe ich im eigenen Netzwerk meine eigenen Logins und Passwörter!

Wer jetzt ggf. nur noch Proxyserver oder VPN-Lösungen von anderen Anbietern z.B am Hotspot nutzt, sollte sich auch im klaren sein, dass er diesen Anbietern zu 100% vertrauen sollte.
Sonst kommt man vom Regen in die Traufe!
Wenn ich manchmal lese, wie einige auf Sicherheit setzen wollen und dann irgendwelche russischen Proxyserver nutzen, die auf irgendwelchen Warez-Seiten herumgeistern, muss ich immer schmunzeln...

und damit beende ich mal das thema hier, hat ja nix mehr mit dem ursprünglichen thema zu tun. wer möchte kann sich per pn melden...

ja natürlich kann man netzwerk traffic von client a nach client b mitschneiden wenn man sich in dem netzwerk befindet und die GSM Verschlüsselung etc ist ja auch nen Witz, aber die Verbindung zum pushen und removen von Apps auf Android sollte halt ne verschlüsselte Verbindung sein, so das die Daten komplett verschlüsselt und nirgends im klartext dargestellt werden

falls das natürlich nicht so ist, muss ich dir Recht geben, dann wäre das ne ziemliche Sicherheitslücke

@danissimodie BT4 hab ich auch ... und keiner der Angriffe funktioniert OHNE dass man man angegriffenen Rechner was bemerkt solange man SSL benutzt und auf die richtigen Zertifikate achtet ...