Du bist hier: Android Forum » Android » Android Gerüchte und News » "Datenklau aus der Hosentasche"
Gehe zu: Neue Beiträge | Eigene Threads | Beobachtete Threads

"Datenklau aus der Hosentasche"

Um aktiv im Android Forum teilnehmen zu können, musst Du Dich bei AndroidPIT registriert haben.

Alle Beiträge im Thread ""Datenklau aus der Hosentasche""

Antworten

Evelyn C.

User
Handy

Status: Market-Amazone

Rang: Android Gottheit

Beiträge: 4.812

Eintrittsdatum: 22.11.2009

"Datenklau aus der Hosentasche"
verfasst am 16.05.2011 21:22:37 (über AndroidPIT-App)

Artikel auf ZDNet:

http://www.zdnet.de/sicherheits_analysen_gefaehrliche_luecke_in_android_datenklau_aus_der_hosentasche_story-39001544-41553063-1.htm?DE_FULLSTORY=1

-----
Phantasie ist wichtiger als Wissen, denn Wissen ist begrenzt - Albert Einstein • Apps nach Einsatzzweck • Das AndroidPITiden-Buch

Antworten mit Zitat Antworten Link ±0 (0 Stimmen)

Andy N. User Handy Rang: Android Gottheit Beiträge: 1.962 Eintrittsdatum: 05.05.2010 Modell: HTC Desire Firmware: 2.3.7 Mod: CyanogenMod Kernel: 2.6.37.6 Build: GWK74 Provider: O2	RE: "Datenklau aus der Hosentasche" verfasst am 16.05.2011 21:59:39 — geändert am 16.05.2011 22:00:43 Das ist natürlich ein blöder Fehler, aber generell muss man sagen, dass man bei einem öffentlichem WLAN Netz immer vorsichtig sein muss. Viele Dienste verschlüsseln gar nicht (auch bei AndroidPit wird ab und zu die Übergabe des Passworts nicht verschlüsselt), dann hat der Angreifer nicht nur das Token (was nach einer Zeit verfällt), sondern auch das Passwort. Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Sebastian B. User Handy Rang: Andryo Beiträge: 2 Eintrittsdatum: 28.04.2011 Modell: Motorola DEFY Firmware: 2.3.4 Mod: CM 7 Kernel: Build: Provider: T-Mobile D	RE: "Datenklau aus der Hosentasche" verfasst am 17.05.2011 21:13:19 Dumm für uns ist natürlich auch, dass die Updatepolitik einiger Hersteller und Provider (bei mir Motorola und t-Mobile), eher bescheiden ist. Ich erhoffe für mein DEFY auch ein baldiges Update auf 2.2, aber "Betroffen sind fast alle Android-Nutzer - laut den Forschern hat Google die Sicherheitslücke zwar in der Betriebssystem-Version 2.3.4. geschlossen, aber nur für Kalender und Kontakte." quelle: Spiegel.de. Also hinkt Motorola beim Defy kräftig hinterher. Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Thorsten C. G. User Handy Rang: Android HiWi Beiträge: 100 Eintrittsdatum: 05.04.2010 Modell: Motorola Razr Firmware: 2.3.6 Mod: Kernel: 2.6.35.7-g24431a2 Build: 6.5.1-167_SPU-15-M2-1-DE Provider: O2	RE: "Datenklau aus der Hosentasche" verfasst am 17.05.2011 21:23:59 Da bin ich doch froh, dass das N1 schon 2.3.4 bekommen hat... Wer nutzt schon Picasa...somit SAFE! SORRY - musste sein. Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Ralph User Handy Rang: Android GoldSenior Beiträge: 1.185 Eintrittsdatum: 26.08.2010 Modell: Nexus S i9023 Firmware: 4.0.4 Mod: Stock mit Root und CWM Kernel: 3.0.8-g6656123 Build: IMM76D Provider: Vodafone	RE: "Datenklau aus der Hosentasche" verfasst am 18.05.2011 02:37:43 (über AndroidPIT-App) — geändert am 18.05.2011 02:39:00 Wirklich safe? Du nutzt keine fremden WLANs? Auch nicht bei Freunden, am Bahnhof, Flughafen oder den Amerikanischen Bulettenbratern? Und wenn doch, kannst Du denen 100% vertrauen? Da gibt es niemanden, der auch mal auf dumme Gedanken kommt? Ich habe es schon mehrfach gesagt: Smartphones bergen Risiken, derer die große Nutzerschar sich noch gar nicht bewußt ist oder die selbst für Profis nicht offensichtlich sind. Vor allem sind nicht nur meine Daten in Gefahr sondern auch die von Unbeteiligten. Ich bin gespannt, wann der erste Smartphone-Nutzer wegen Verstoßes gegen den Datenschutz verklagt wird. ----- Die Tatsache, dass ich paranoid bin, heißt noch lange nicht, sie seien nicht hinter mir her! Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Doktor Cox User Handy Rang: Android Junior Beiträge: 9 Eintrittsdatum: 07.03.2010 Modell: HTC Magic Firmware: 2.2.1 Mod: - Kernel: 2.6.32-9 Build: FRG83D Provider: E-Plus	RE: "Datenklau aus der Hosentasche" verfasst am 18.05.2011 07:17:39 Hallo ihr alle Meiner Meinung ist es egal, wie man ins Internet geht oder aber sein Smartphone syncronisiert ! Fakt ist das es im Android-Betriebssystem Sicherheitslücken gibt die man stoppen/beheben muss. Jetzt bin ich ja mal gespannt wie Google das beheben will , und zwar für alle Android-Versionen. Bei jedem Betriebssystem der Welt (Windows, Linux, MAC) gibt es Sicherheitsupdates und das muss mit Android auch passieren. Diese Sicherheitsupdates für Android (sofern vorhanden) sollten schnell aktualisiert werden, aber nicht über Provider sondern direkt von Google. Meiner Meinung kann es nicht sein das hier von Google so nachlässig programmiert wurde und sicherheitsrelevante Daten unverschlüsselt übermittelt werden, bzw. die Token so lange gültig sind. Nun gut für mich kommen offene Netzwerke nicht in Frage (Honigtopf) aber allein der Fakt das es Datenklau geben könnte, gibt mir zu denken. D_C Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Ralph User Handy Rang: Android GoldSenior Beiträge: 1.185 Eintrittsdatum: 26.08.2010 Modell: Nexus S i9023 Firmware: 4.0.4 Mod: Stock mit Root und CWM Kernel: 3.0.8-g6656123 Build: IMM76D Provider: Vodafone	RE: "Datenklau aus der Hosentasche" verfasst am 18.05.2011 09:07:56 (über AndroidPIT-App) Bezüglich Updates bekommst Du ein Full-ACK von mir. Allerdings sind auch die App-Entwickler in der Pflicht. Und die Anwender, die alles mit ihren auch nicht sicheren Social-Networks syncen wollen. Offenheit bedeutet auch mehr Risiko! ----- Die Tatsache, dass ich paranoid bin, heißt noch lange nicht, sie seien nicht hinter mir her! Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Doktor Cox User Handy Rang: Android Junior Beiträge: 9 Eintrittsdatum: 07.03.2010 Modell: HTC Magic Firmware: 2.2.1 Mod: - Kernel: 2.6.32-9 Build: FRG83D Provider: E-Plus	RE: "Datenklau aus der Hosentasche" verfasst am 18.05.2011 09:55:55 Ralph Bezüglich Updates bekommst Du ein Full-ACK von mir. Danke Ralph Allerdings sind auch die App-Entwickler in der Pflicht. In diesem Fall "Google" Ralph Und die Anwender, die alles mit ihren auch nicht sicheren Social-Networks syncen wollen. Offenheit bedeutet auch mehr Risiko! Korrekt Das Problem mit dem auth-Token sollte eigentlich über "https" machbar sein. Da Google ja die Möglichkeiten hat als root auf die Androidgeräte zuzugreifen sollte ein Sicherheitsupdate bestimmt kein Problem sein. Ich kann mir allerdings nicht vorstellen das es Google versäumt hat die Sync-Funktion zu verschlüsseln. Aber auch ich kann mich irren "Netzwelt.de" Bis einschließlich Android 2.3.3 übermitteln der Kalender und das Adressbuch den Forschern zufolge die Daten unverschlüsselt und sind deshalb anfällig für einen Angriff. Davon seien 99,7 Prozent aller Android-Smartphones betroffen, erklären die Forscher. Seit Android 2.3.4 nutzen diese Anwendungen die sichere https-Verbindung. Die online gespeicherten Fotoalben von Picasa sind seit Android 2.3 integriert - auch hier werden die Daten ohne Verschlüsselung übertragen, bis einschließlich Android 2.3.4. Hier nochmals der Link zum Zitat : klick Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Andy N. User Handy Rang: Android Gottheit Beiträge: 1.962 Eintrittsdatum: 05.05.2010 Modell: HTC Desire Firmware: 2.3.7 Mod: CyanogenMod Kernel: 2.6.37.6 Build: GWK74 Provider: O2	RE: "Datenklau aus der Hosentasche" verfasst am 18.05.2011 18:46:50 Wenn man bedenkt wie viele E-Mail Clients (ob am Notebook, Tablet oder Smartphone) per Default unverschlüsselt arbeiten dann wird diese Sicherheitslücke wirklich lächerlich. Google muss man normal zu gute halten, dass sonst sehr konsequent mit verschlüsselten Verbindungen arbeitet. Und auch wenn man das nicht glauben kann, das ist eine Seltenheit. Hier ist nun Google ein Fehler passiert. Dennoch denke ich, ist die Sicherheitslücke überschaubar. Es ist "nur" ein Token, die Sicherheitslücke gilt "nur" für offene WLANs (die man eh nur mit großer Vorsicht verwenden sollte) und die Möglichkeiten des Angreifers sind begrenzt. Kritischer sehe ich es, dass Apps wie Facebook lange gebraucht haben eine sichere Anmeldung umzusetzen, viele andere haben es biis heute noch nicht. Die Meldungen alla "deutsche Wissenschaftler haben entdeckt" kommt mir auch sehr komisch vor. Die Sicherheitslücke wurde in 2.3.4 behoben, das heißt also, die Sicherheitslücke war schon länger bekannt. Allerdings verstehe ich nicht so ganz, wie die Sicherheitslücke funktioniert. Benützt Google nicht Oauth? So wie ich Oauth2 verstanden habe gibt es 2 Möglichkeiten sich anzumelden, einmal über Signaturen und einmal über eine verschlüsselte Verbindung. In beiden Fallen wäre es doch egal, wenn der Angreifer mit ließt, oder? Also hat Google wirklich Oauth falsch umgesetzt oder wird hier wieder etwas sehr groß aufgeblasen? Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Bastian S. User Handy Status: Moderator Rang: Android Gottheit Beiträge: 4.087 Eintrittsdatum: 08.05.2010 Modell: Galaxy Nexus Firmware: 4.0.4 Mod: aokp_maguro_milestone-5 Kernel: - Build: - Provider: Vodafone	RE: "Datenklau aus der Hosentasche" verfasst am 19.05.2011 02:36:39 — geändert am 19.05.2011 02:38:54 Na diesmal war Google aber sehr schnell, laut Pressemitteilung wird schon in den nächsten Tagen ein Fix an alle Android-Nutzer "geschickt". Nutzer müssen natürlich nichts machen. Quelle Was ich jetzt aber beim besten Willen und bei aller Liebe überhaupt nicht verstehe, ist, warum das nicht schon lange passiert ist. Da das Problem ja in 2.3.4 schon behoben wurde, bevor es überhaupt bekannt geworden ist, ist es ja offensichtlich, dass Google davon wusste. Und wie es scheint, ist es nicht wirklich schwierig das Problem für wirklich alle zu beheben. Also warum nicht schon früher? ----- Liebe Grüße, Bastian Die Regeln \| Unser AppCenter \| Das Buch für Einsteiger - kostenlos \| Apps nach Einsatzzweck Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Gerd Sommers User Handy Rang: Schülersprecher Beiträge: 67 Eintrittsdatum: 11.04.2011 Modell: HTC Desire Firmware: Mod: Kernel: Build: Provider: O2	RE: "Datenklau aus der Hosentasche" verfasst am 19.05.2011 02:58:00 Ralph Wirklich safe? Ich bin gespannt, wann der erste Smartphone-Nutzer wegen Verstoßes gegen den Datenschutz verklagt wird. Verstehe ich nicht. Wieso sollte der User wegen Verstoß gegen Datenschutz verklagt werden ? Welcher Verstoß ? Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Stefan H. User Handy Rang: Klassensprecher Beiträge: 47 Eintrittsdatum: 09.02.2010 Modell: Samsung Galaxy (I7500) Firmware: 1.5 Mod: GalaxHero + GChrome + own stuff Kernel: 2.6.27.35 - drakaz-v3 Build: - Provider: -	RE: "Datenklau aus der Hosentasche" verfasst am 19.05.2011 07:53:29 Bastian S. Da das Problem ja in 2.3.4 schon behoben wurde, bevor es überhaupt bekannt geworden ist, ist es ja offensichtlich, dass Google davon wusste. Und wie es scheint, ist es nicht wirklich schwierig das Problem für wirklich alle zu beheben. Also warum nicht schon früher? wenn du ein bisschen rumsuchst, wirst du bemerken, dass es schon letzten Sommer (z.B. Juni) Forendiskussionen gab, warum Android die Synchronisation nicht verschlüsselt. Es ist also schon sehr lange bekannt. Ich verstehe aber auch nicht, warum google da erst nachbessert, wenn die Medien sich draufgestürzt haben. Immerhin jedoch haben sie sofort reagiert und nicht 1-2 Wochen gewartet wie Apple und Sony letztens. Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Bastian S. User Handy Status: Moderator Rang: Android Gottheit Beiträge: 4.087 Eintrittsdatum: 08.05.2010 Modell: Galaxy Nexus Firmware: 4.0.4 Mod: aokp_maguro_milestone-5 Kernel: - Build: - Provider: Vodafone	RE: "Datenklau aus der Hosentasche" verfasst am 19.05.2011 14:01:47 (über AndroidPIT-App) Oh ok, das ist mir neu, hatte noch nicht viel herumgesucht. Das macht das ganze natürlich noch komischer irgendwie. ----- Liebe Grüße, Bastian Die Regeln \| Unser AppCenter \| Das Buch für Einsteiger - kostenlos \| Apps nach Einsatzzweck Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Robert Meznik User Handy Rang: Klassensprecher Beiträge: 36 Eintrittsdatum: 30.04.2011 Modell: Samsung Galaxy S (I9000) Firmware: 2.1 Mod: Kernel: 2.6.29 root@SE-S603 Build: Provider:	RE: "Datenklau aus der Hosentasche" verfasst am 19.05.2011 23:44:14 Das finde ich ja schon mal besser dass überhaupt gleich reagiert wird, manche sieht man eh tun das halt erst ein bissi spät, und sind dann verwundert warum manche leicht angesäuert sind... Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Ralph User Handy Rang: Android GoldSenior Beiträge: 1.185 Eintrittsdatum: 26.08.2010 Modell: Nexus S i9023 Firmware: 4.0.4 Mod: Stock mit Root und CWM Kernel: 3.0.8-g6656123 Build: IMM76D Provider: Vodafone	RE: "Datenklau aus der Hosentasche" verfasst am 20.05.2011 00:48:43 Gerd Sommers Ralph Wirklich safe? Ich bin gespannt, wann der erste Smartphone-Nutzer wegen Verstoßes gegen den Datenschutz verklagt wird. Verstehe ich nicht. Wieso sollte der User wegen Verstoß gegen Datenschutz verklagt werden ? Welcher Verstoß ? Wenn Du Dein Adressbuch mit Facebook syncst, wird es komplett auf Facebook übertragen. Dadurch erhält Facebook unter Umständen Daten von Mitgliedern, die die Mitglieder selbst nicht eingetragen haben. Über die AGB nimmt sich Facebook sehr viel Freiheiten heraus, die nicht unbedingt mit dem deutschen Datenschutz vereinbar sind. Zudem erhält Facebook Daten von NIcht-Mitgliedern. Und das alles ohne deren Wissen. Also müsste man auf den Sync mit Facebook verzichten. Macht man das nicht, schafft man Angriffsfläche. Ein weitere Möglichkeit bieten die Geo-Services. Du kannst Dein Handy verleihen - ohne SIM! Wenn Du es zurückbekommst und der Leiher das Telefon nicht auf Werkseinstellungen zurückgesetzt hat, kannst Du in Schwierigkeiten kommen. Ich behaupte nicht, dass Gerichte so oder anders urteilen werden. Ich vermute sogar recht unterschiedliche Urteile bei scheinbar vergleichbaren Fällen. Wäre ja nicht das erste mal! Aber ich bin mir nahezu 100% sicher, dass diesbezüglich noch so einige Streitigkeiten auf uns zukommen. ----- Die Tatsache, dass ich paranoid bin, heißt noch lange nicht, sie seien nicht hinter mir her! Antworten mit Zitat Antworten Link ±0 (0 Stimmen)
Ralph User Handy Rang: Android GoldSenior Beiträge: 1.185 Eintrittsdatum: 26.08.2010 Modell: Nexus S i9023 Firmware: 4.0.4 Mod: Stock mit Root und CWM Kernel: 3.0.8-g6656123 Build: IMM76D Provider: Vodafone	RE: "Datenklau aus der Hosentasche" verfasst am 20.05.2011 00:55:26 Andy N. Wenn man bedenkt wie viele E-Mail Clients (ob am Notebook, Tablet oder Smartphone) per Default unverschlüsselt arbeiten dann wird diese Sicherheitslücke wirklich lächerlich. Stimmt schon! Aber einen Fehler durch andere, angeblich oder tatsäschlich schlimmere zu relativieren, ist für mich ein No-Go! Andy N. Dennoch denke ich, ist die Sicherheitslücke überschaubar. Es ist "nur" ein Token Gut, dass Du das "nur" in Anführungsstrichen schreibst! Andy N. , die Sicherheitslücke gilt "nur" für offene WLANs Falsch! Es gilt auch für verschlüsselte WLANs in denen jeder Client den gleichen Schlüssel verwendet. Andy N. Kritischer sehe ich es, dass Apps wie Facebook lange gebraucht haben eine sichere Anmeldung umzusetzen, viele andere haben es biis heute noch nicht. ACK! ----- Die Tatsache, dass ich paranoid bin, heißt noch lange nicht, sie seien nicht hinter mir her! Antworten mit Zitat Antworten Link ±0 (0 Stimmen)