Android-Sicherheit: Rampage ist nur ein Sturm im Wasserglas
Es gibt eine neue Sicherheitslücke für Android, und sie betrifft alle Android-Versionen seit 4.0 - im Prinzip. Tatsächlich haben Privatanwender vor dem nun entdeckten Rampage-Angriff nicht besonders viel zu befürchten.
Rampage, eine neue Art und Weise, ein Android-Gerät zu attackieren, hat alleine schon des Namens wegen eine große Wucht. Theoretisch ist es Angreifern damit möglich, den Speicher Eures Smartphones oder Tablets zu verändern und sich zu zum Herrn über Eure Daten aufzuschwingen. Der Schlüssel dahinter ist ein sogenannter Rowhammer-Angriff.
Wenn man sich aber anschaut, was der Angreifer bei einem Rowhammer-Angriff so alles leisten muss, kommt zu dem Schluss: So groß dürfte die Gefahr für den Normalnutzer nicht sein. Durch wiederholten Zugriff auf den Telefonspeicher manipuliert der Angreifer benachbarte Speicherbereiche, auf die er eigentlich keinen hätte. Wird das lange und intensiv genug gemacht, bekommt der Angreifer Zugriff auf viele kleine Häppchen des Smartphone-Speichers. Das ist ziemlich kompliziert und nicht im Vorbeigehen zu erledigen.
Zur Geschichte von Rampage gehört außerdem: Die Forscher, die die Lücke entdeckt haben, haben die Lösung direkt mitgeliefert. Mit GuardION kann Google das ION-Subsystem gegen den Angriff wappnen, es muss nur implementiert werden. Die Experten wissen, wovon sie reden, hatten sie doch schon Drammer entdeckt, den ersten Rowhammer-Angriff vor zwei Jahren.
Phishing und Co. sind die größere Gefahr
Google könnte also recht problemlos die Lücke schließen, wenn sie wirklich so gefährlich wäre. Wie so einige Sicherheitslücken in der Vergangenheit scheint die Gefahr aber auf dem Papier viel größer zu sein als im Alltag. Die leider noch immer üblichen Phishing-Mails, Ransomware und betrügerische Webseiten stellen für den Pivatnutzer ein deutlich größeres Problem dar als nur mit großem Aufwand auszunutzende Schlupflöcher im System, die nur eine handvoll Digital-Schurken überhaupt knacken können.
Klar, es kann theoretisch jedes Smartphone erwischen, und so ein Angriff wäre sicher mehr als lästig. Aber mal ehrlich: So ein Angriff ist ziemlich aufwendig, und angesichts der hunderte Millionen Android-Geräte stellt sich schon die Frage, wie realistisch es ist, als Privatperson da ins Visier zu geraten. Wer den Verstand einschaltet, nicht jeden Link öffnet, Apps nur aus offiziellen Quellen installiert und nicht jeden windigen Hotspot nutzt, hat die Gefahr ziemlich weit minimiert. Die absolute Sicherheit gibt es im Leben nun einmal nie, und Smartphones machen da keine Ausnahme.
Hattet Ihr schon mal einen fiesen Virus auf Eurem Smartphone?
Quelle: heise, Studie (PDF)
Du kannst an jeder Autobahnauffahrt soviele Schilder, Bodenschwellen, Warnlampen und was weiß ich aufstellen- es wird immer den Idioten geben, der dann als Geisterfahrer unterwegs sein wird. Die Schwachstelle ist immer der Mensch! Und Menschen holen sich gegen Vorkasse von 1000,-Euro den angekündigten Gewinn (Rheumadecke) bei einer Kaffeefahrt ab, geben dem verschollenen Enkel oder den angeblichen Polizisten an der Haustür das gesamte Bargeld, unterschreiben Abos, klicken die Webseite zur Penisvergrößerung und Hirnverkleinerung an, verlieben sich alle 11 Minuten für 4,99 Euro/Min. in eine angebliche echte Flirtpartnerin, rufen als Reichsdeutsche ihr Königreich aus und verwahren ihre PIN für die EC-Karte auf einem kleinen Zettel im gleichen Portemonnaie!
Sicher ist ein Smartphone nur dann, wenn man es 90% der Menschen wegnimmt....
:-)
Vorallem steht vor dem Installieren das es möglich ist in app käufe zu tätigen. wenn es nicht stehwn würde und einfach kosten erhoben würden und der nutzer ahnungslos ist dan ist es in meinen Augen betrug. Aber ich bin der meihnung, wenn du solch eine App installierst und der hinsweis auf in app käufe ist angegeben, dan bist du damit einverstanden und mit dem drücken auf den Install button stimmst du den bedingungen zu
Du beziehst dich sicher auf die Kommentare weiter unten. Nein, In App Käufe sind selbstverständlich kein Betrug, du musst einen Kauf ja immer von dir aus anstoßen. Es wird dir ja nicht einfach Geld abgezogen. Und in vielen Fällen sind In App Käufe das einzige Mittel der Wahl, zum Beispiel, um Funktionen oder neue Level dazuzukaufen.
"Absolute Sicherheit gibt es nicht, auch nicht bei Smartphones."
Nicht, solange Software menschengemacht ist ^^ Das verstehen viele nicht. Deswegen war auch das Gerücht, dass iOS12 sich auf Stabilität und Sicherheit konzentriert, von Anfang an Nonsens.
Ich denk , du versteht genauso viel wie die Vielen , nämlich nichts !!
Wenn Stabilität und Sicherheit nonsen ist, wozu sind dann neue Builds/ Sicherheitsupdates gut ? Dann kann man sich das ja alles schenken .
Lies meinen Kommentar richtig, dann kapierst DU vielleicht, was ich geschrieben habe.
Ich habe NIE geschrieben, dass Sicherheit und Stabilität Nonsens sind.
Ich habe geschrieben, dass das Gerücht Nonsens war, laut dem sich iOS 12 darauf beziehen soll.
Hätte Apple das gemacht, würde man Apple jeden noch so kleinen Bug ankreiden. Aber es wird NIE eine völlig fehlerfreie Software geben, solange diese Software menschengemacht ist.
So ist es. Absolute Sicherheit gibt es nicht. Erst eimal braucht der Angreifer mein Handy, den Zugriff, Sicherheitseinstellungen müssen überwunden werden, oh, es ist verschlüsselt. Welch A. Version war das noch mal. Welche Sicherheiten sind Seitens des Herstellers gegeben?
Viel zubiele Variablen, und das für unvollständige Informationen, wenn überhaupt.
Lohnt nicht darüber nachzudenken.
Naja, nachzudenken lohnt sich schon, hat er DEIN Handy in der Hand , HATTEST du mal in der Regel ein Handy ! Gestohlen heißt das dann . Mit dann genügend Zeit und Wissen wäre schon eine Menge/alles möglich !
Heute wird so ein Phone zum Ersatzteilspender oder reorganisiert und verkauft, in naher Zukunft vorher das Konto "geplündert" !
Also ich hatte noch nie Probleme mit irgend welchen Viren, Trojanern oder ähnlichen.
Wird auch daran liegen weil ich keine "Klickibunti" Apps aus irgendwelchen Stores oder zwielichtigen Seiten lade.
Wichtig auch noch Apps nur auf das nötigste was man wirklich braucht zu beschränken, und wenn's geht nur Kauf Apps zu verwenden, wegen der Berechtigungen von den Gratisversionen.
Von gratis Spielen oder so würde ich generell abraten.
Auch würde ich niemals ein No Name China billig Handy kaufen, da sind die Trojaner von Haus aus installiert.
gibt genügend Gratis-Spiele, die nicht Virenverseucht sind ^^ Gratis ist nicht automatisch schlecht. Genauso gibt es mehr als genug Bezahl-Apps im Play- und App Store, die einfach nur purer Müll sind.
Gratis Spiele meide ich schon deshalb wegen der Werbung und den abgreifen meiner Daten,
siehe Berechtigungen.
Und ich sage ja nicht das alle Kauf Apps gut sind.
Aber gratis heißt zu 90% bezahlen mit meinen Daten.
Das ist totaler Quatsch, sorry.
Es gibt MEHR als genügend super "gratis Spiele" ohne Werbung, die sich durch Ingame-Käufe finanzieren. Pokemon GO, Clash of Clans, Clash Royale, um nur mal drei bekannte zu nennen. Keine davon finanziert sich mit Werbung und man ist auch nicht gezwungen, zu kaufen (Pay to win).
"Aber gratis heißt zu 90% bezahlen mit meinen Daten."
Wo hast du bitte diesen Schwachsinn her? Glaubst du wirklich, dass sich kostenlose Apps mit deinen Daten finanzieren und bezahlte Apps nicht?
Genauso kann man auch sagen:
"Bezahlen mit Geld heißt zu 90%, dass du trotzdem mit Daten zahlst".
Nicht alle kostenlosen Spiele wollen deine Daten. Auch nicht 90%.
Oftmals ist es sogar genau UMGEKEHRT. Kostenlose Apps, die sich durch Ingame-Käufe finanzieren, sind oftmals BESSER und werden vor allem viel länger supported, bekommen neue Features usw. Bei Bezahl-Apps hat man das gar nicht mal so selten nicht.
Danke Tim, man nehme das Spiel Fallout Shelter, schau dir mal da die Berechtigungen an und das ohne Werbung und vollig kostenlos mit InApp Käufen, die man aber zum weiterkommen ganz und gar nicht braucht.
sicher?
Device & app history
retrieve running apps
Photos/Media/Files
read the contents of your USB storage
modify or delete the contents of your USB storage
Storage:
read the contents of your USB storage
modify or delete the contents of your USB storage
Wi-Fi connection information:
view Wi-Fi connections
Other:
receive data from Internet
view network connections
full network access
control vibration
prevent device from sleeping
Google Play license check
So viele Leerzeilen... Oh je ^^
Nicht jede Berechtigung wird für die Spiele benötigt. Solche Spiele decken oftmals einfach alles ab, weil es bspw. Optionben gibt, wofür du deinen Standard o.Ä. brauchst. 90% davon lässt sich dank Android 7.0 (oder war es scon 6.0?) und neuer deaktivieren. Die paar Spiele, die ich auf meinem Handy habe, haben nur eine einzige Berechtigung: Speicher. Und das ist logisch, denn die Spiele müssen schlicht irgendwo gespeichert werden und dafür brauchen die Spiele ebenfalls die Berechtigung. Das ist seitens Google leider sehr dumm konstruiert. Genauso fällt bspw. Bluetooth in die Kategorie "Standort". Wenn irgendeine App Zugriff auf Bluetooth braucht, musst du "Standort" freigeben.
In-App-Käufe sind doch der größte Betrug, weiterkommen nur durch ständiges zukaufen. Was soll daran gut sein?
Bist wohl auch so einer der auf den Mist reinfällt.
Ach ja, und deine ach so guten gratis Apps wurden nur aus reiner Menschenfreundlichkeit programmiert. Haha... denk mal nach.
@Diesel
So ein Unsinn. Die meisten Spiele mit In App Käufen, die ich kenne, kann man spielen ohne etwas kaufen zu müssen. Klar kommt man dann nicht so schnell weiter als jemand der etwas dazu kauft, aber man kommt weiter. Da sehe ich den Betrug eher bei den Cheatern, die sich einfach weiterkaufen statt etwas so zu erspielen.
Ich bin ja der Meinung der Googleappstore müsste mal so richtig ausgekehrt werden. Bei dem Kram dort kann man ruhig 500 000 Apps pro Forma löschen.
Vor allem bräuchte es bessere Filter. Es wäre schon hilfreich, wenn man alle Apps, die seit einem Jahr nicht mehr aktualisiert wurden, ausfiltern kann. Oder Apps, die bestimmten Designvorgaben nicht entsprechen. Vieles sieht da ja schlimmer aus als zu DOS-Zeiten.
<<Es wäre schon hilfreich, wenn man alle Apps, die seit einem Jahr nicht mehr aktualisiert wurden, ausfiltern kann.>>
Mehr Filtermöglichkeiten: gerne!
Aber (insbesondere bzgl. älterer Apps) bitte auch NUR filtern und nicht gleich komplett aus dem Store schmeißen (wie es ja leider von manchen immer mal wieder gefordert wird, siehe auch hier von Santiger...).
Ich nutze so einige alte, nicht mehr aktualisierte Apps durchaus sehr gerne und wenn ich Google schon auf dem Fon habe, dann möchte ich diese Altapps auch gerne weiterhin direkt aus dem Playstore installieren können, anstatt mir die Apks von mehr oder weniger seriösen Internetseiten holen zu müssen.