Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
2 Min Lesezeit 18 mal geteilt 26 Kommentare

Android 4.4.4: Kritischste Sicherheitslücke weiterhin offen

Mit dem jüngsten Nacht-und-Nebel-Update Android 4.4.4 wird eine weitere Sicherheitslücke für OpenSSL geschlossen. Der wahre Feind steckt aber hinter Towelroot.

Dual-SIM oder Metall-Unibody - was ist DIR wichtiger?

Wähle Dual-SIM oder Metall-Unibody.

VS
  • 7491
    Stimmen
    Ooops! Etwas ist schiefgelaufen. Aktualisieren sollte helfen.
    Dual-SIM
  • 10876
    Stimmen
    Ooops! Etwas ist schiefgelaufen. Aktualisieren sollte helfen.
    Metall-Unibody
root freedom broken
© https://www.flickr.com/photos/tiagoafpereira/

OpenSSL dürfte vielen von Euch noch im Zusammenhang mit dem Heartbleed-Bug in Erinnerung sein. Während dieser vor allem auf Serverseite zu patchen, und für den Otto-Normal-User nur wenig zu machen war, liegen andere Lücken in OpenSSL sowohl auf Server- als auch auf User-Seite.

Darunter befindet sich die mit Android 4.4.4 behobene Möglichkeit einer ChangeCipherSpec(CCS)-Injection nach CVE-2014-0224. Dank ihr können Hacker verschlüsselte Daten eines Servers oder Clients, der eine alte OpenSSL-Version nutzt, entschlüsseln, und die Identität einer der Seiten stehlen oder einfach eine Verbindung abhören.

Towelroot/futex bleibt unberührt

Der kürzlich vorgestellte Root-Hack Towelroot, der etliche Android-Geräte ohne einen PC mit Root-Rechten ausstattet, nutzt eine Sicherheitslücke, die nach wie vor nicht mit Android 4.4.4 gepatcht wird. Hier kommt CVE-2014-3153 (Linux kernel futex local privilege escalation) zum Einsatz. Dabei handelt es sich um einen Fehler im Android zugrunde liegenden Linux-Kern, der an sich komplett offline arbeitet. Openwall-Mailinglist-Mitglied Rich Felker bezeichnet ihn als “wahrscheinlich größten Sicherheitsmangel in Linux in den vergangenen fünf Jahren (wenn nicht seit Anbeginn)”, da mit ihm auch aus abgeschlossenen Systemen heraus der Betriebssystem-Kern kompromittiert werden kann.

Dies geschieht laut der National Vulnerability Database über die Kernel-Funktion futex_requeue und ist möglich, da sie in Kernel-Versionen bis 3.14.5 nicht überprüft, dass Aufrufe zwei unterschiedliche futex-Adressen haben. Gezinkte FUTEX_REQUEUE-Kommandos können wahlweise zum Rechte-Aufstieg (wie beim Towelroot), oder zum Lahmlegen des Systems genutzt werden.

Für Android allgemein bedeutet dies, dass Apps mit Towelroot-ähnlichen Komponenten ausgestattet werden könnten, um nach ihrer Installation temporär Superuser-Privilegien zu erhalten und Komponenten in Euer System einschleusen könnten, deren exakte Funktionalität für Euch verborgen bleiben. Diese Komponenten würdet Ihr überdies mangels Root-Rechten ohne Weiteres nicht entfernen können.

Es bleibt zu hoffen, dass Google den Play Store regelmäßig durchkämmt und ähnlich wie ein Virenscanner die Verhaltensmuster der dort verbreiteten Software entlang der jüngsten Sicherheitsbekanntmachungen der CVE und der NVD abscannt, denn anstonsten würde das Vertrauen in das von Google geschaffene Ökosystem schnell leiden.

Top-Kommentare der Community

  • Thomas Stern 20.06.2014

    Jetzt urteilt mal bitte nicht so vorschnell. Bei Towelroot, handelt es sich um eine Sicherheitslücke, die erst seit 5 Jahren ausgenutzt wird.
    Ein Patch lässt sich nicht so schnell entwickeln.
    Mit etwas Glück ist das Problem bereits in Android 5.x behoben oder in 6.x
    Vermutlich wird die Lücke sofort gestopft, sobald der Support für die noch existierenden Nexus Geräte ausgelaufen ist.
    Noch vor 20 Jahren, dachte ich das ein open source System, gerade wegen seiner Offenheit schneller auf Sicherheitslücken reagiert als closed source. Aber mittlerweile habe ich mich von der Realität eines besseren belehren lassen.

  •   23
    David@01 20.06.2014

    Im großen und ganzen verstehe ich bloß Bahnhof. Trotzdem danke für den Hinweis. Hoffentlich ändert das Google bald. Fazit ein Otto normal User muss sich auf die Spezialisten verlassen!

  • Ali A. 20.06.2014

    Google-.- Wieso bekommt es das wertvollste Unternehmen der Welt nicht hin eine Sicherheitslücke zu schließen?! Sehr bedenklich was da momentan abläuft!

  • Jörg W. 20.06.2014

    Für mich alles nur Panikmache!!

  • Hans-Thomas M. 20.06.2014

    1. Das ist ein Linux- Fehler, und Google nutzt Linux, hat es aber nicht vollständig selbst entwickelt. Damit kann man Google dafür auch nicht verantwortlich machen. Der Fehler betrifft auch alle anderen Linux Systeme.
    2. Ist Dein Gerät gerooted? Dann solltest Du froh sein, dass es solche Schwachstellen gibt, denn sonst bist Du zum Rooten auf den Hersteller des Geräts angewiesen. Und die Hersteller, die Rooten ermöglichen/tolerieren, kann man an einer Hand abzählen.

26 Kommentare

Neuen Kommentar schreiben:
  • Hat Google eigentlich ne deutsche Mail Adresse, wo man Fehler melden kann, oder doch nur n Link/Meldungsfenster und hoffen, dass die dauergedrosselten Kunden sich überhaupt nicht zu Wort melden können?

  • Ich habe mich schon immer gefragt, warum professionelle Android User, sich darüber freuen mit der richtigen app und wenigen Klicks innerhalb von Sekunden root Rechte zu besitzen. Denn die Voraussetzungen dafür bedeuten zwangsläufig das jede x beliebige app genau so schnell root Rechte besitzt. Was dann auf einmal Panik bei den Profis auslöst :-)

  • Für mich alles nur Panikmache!!

  • Ich werde jetzt vorsichtshalber mein Android Handy ausschalten und den Akku rausnehmen und erst wieder einschalten wenn das Problem behoben ist. Bitte schickt mir ein Telegramm mit einer Brieftaube wenn es soweit ist. Sorry ich finde es natürlich gut dass ihr über sowas berichtet aber aber anhand der ganzen Horror Meldungen über Android müssten wir ja alle schon längst Opfer krimineller Energien geworden sein.

    •   50

      Die "Horror Meldungen" sind ganz normal seit es Computer gibt. Es gab sie auch schon für Windows. Das hat nur kaum jemand mitbekommen. Zum Glück berichtet AndroidPIT mittlerweile darüber.

      Bei Windows war es sogar so, dass Microsoft Lücken im Gegensatz zu anderen Fachleuten als unkritisch eingestuft hat und sie jahrelang nicht gepached hat.

      Wir sind auch alle mehr oder weniger bereits Opfer geworden. Wäre nämlich bereits früher mehr in der Öffentlichkeit über soetwas diskutiert worden und nicht nur von Experten, dann hätte die NSA viel weniger Möglichkeiten gehabt. Ebenso könnte die Werbewirtschaft nicht so dreist spionieren.

  • Reißerische Panikmache!
    Anders als beim Open-SSL Bug, braucht man sich bei der Sicherheitslücke, die der Towelroot nutzt, keine Sorgen zu machen, wenn man seine Apps nicht von zwielichtigen Quellen besorgt.

    •   50

      Gefährliche Aussage!
      Der Artikel beschreibt das Risiko des Google Play Stores.

      • Der Artikel kratzt es ganz merkwürdig an.

        >> Es bleibt zu hoffen, dass Google den Play Store regelmäßig durchkämmt und ähnlich wie ein Virenscanner die Verhaltensmuster der dort verbreiteten Software [...] abscannt, denn ansonsten [...] würde das Vertrauen [...] schnell leiden.

        Es ist hinlänglich bekannt, dass eben genau das passiert, was soll also dieses "Es bleibt zu hoffen, dass"?

        Ach ja. Stimmt. Panikmache :)

  • Selbst wenn das Problem jetzt gefixt wird - es wird ewig dauern bis das Update die Mehrzahl an Geräte erreichen wird

    • Genau, das ist das wohl größte Problem. Wird die Sicherheitslücke mit Android 5.0 geschlossen, werden frühestens Sommer 2016 50% der Android Geräte geschützt sein.

      • Du bist aber Lustig (nicht böse verstehen). Googles Android OS wird niemals eine 50% Grenze erreichen(von einer Version)! Außer Google kommt in die Gänge und macht macht druck gegenüber HTC, Sony und co.

      • Wenn du hier jeden Tag über Updates jammerst, warum hast du dann kein Nexus oder Motorola?

        Und wer sagt dass kein Fix erscheint? Ggf. auch ohne neue Android-Versionsnummer, wie kürzlich bei HTC und Motorola?

  • Jetzt urteilt mal bitte nicht so vorschnell. Bei Towelroot, handelt es sich um eine Sicherheitslücke, die erst seit 5 Jahren ausgenutzt wird.
    Ein Patch lässt sich nicht so schnell entwickeln.
    Mit etwas Glück ist das Problem bereits in Android 5.x behoben oder in 6.x
    Vermutlich wird die Lücke sofort gestopft, sobald der Support für die noch existierenden Nexus Geräte ausgelaufen ist.
    Noch vor 20 Jahren, dachte ich das ein open source System, gerade wegen seiner Offenheit schneller auf Sicherheitslücken reagiert als closed source. Aber mittlerweile habe ich mich von der Realität eines besseren belehren lassen.

  •   23

    Im großen und ganzen verstehe ich bloß Bahnhof. Trotzdem danke für den Hinweis. Hoffentlich ändert das Google bald. Fazit ein Otto normal User muss sich auf die Spezialisten verlassen!

Zeige alle Kommentare

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!