Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
2 Min Lesezeit 14 mal geteilt 27 Kommentare

Entwarnung für CyanogenMod: Doch keine Lauschangriffe möglich

Aufgrund einer fehlerhaften Komponente lassen sich Browser in CyanogenMod-Smartphones abhorchen. Die "Man in the Middle"-Lücke wurde schon vor zwei Jahren bekannt gegeben, anfällig ist das Custom-ROM trotzdem noch. Update: CyanogenMod ist von dem angeblichen Sicherheitsleck nicht betroffen.

AndroidPIT Nexus5 CyanogenMod Boot new format
Gar nicht mal so sicher? Die Verantwortlichen von CyanogenMod sollen eine alte Sicherheitslücke einprogrammiert haben. / © ANDROIDPIT

Angeblich soll CyanogenMod anfällig sein für eine sehr alte Sicherheitslücke. Die "Man in the Middle"-Attacke soll möglich sein, weil ein Schnipsel sehr alter Java-Code wiederverwendet wurde, der schon im Jahr 2012 als unsicher eingestuft wurde. Dies will ein namentlich nicht erwähnter Sicherheits-Experte herausgefunden und gemeldet haben.

Dieser Code stammt aus einem Beispiel von Oracle, der Firma, die die Entwicklung der Java-Programmiersprache verwaltet und mit Seminaren zu derselben viel Geld verdient. Der betreffende Code soll sich um das Parsen von Sicherheits-Zertifikaten kümmern. Dummerweise hat dieser eine Sicherheitslücke, dank welcher unbekannte Dritte sich zwischen zwei Verbindungs-Teilnehmern (also zwischen Euch und dem Server irgendeiner Website) einklinken und unbemerkt Daten ausspähen oder manipulieren können.

Der Fehler ist allerdings gut dokumentiert und lässt sich sehr leicht beheben. Daher ist es möglich, dass schon zum nächsten Meilenstein von CyanogenMod ein Patch vorliegt. Derzeit wird er unter anderem im Issue Tracker von CyanogenMod dokumentiert.

Bisher hat sich niemand von CyanogenMod selbst zu dem Problem geäußert, und manch einer behauptet sogar, dass den Fehler gar nicht die CyanogenMod-Entwickler zu verantworten haben. Wieder andere sagen, er sei bereits vor geraumer Zeit behoben worden. Wir lassen Euch wissen, wie diese Story ausgeht. 

[UPDATE: 14.10.2014, 13:00 Uhr]

Inzwischen ist aus mehreren Quellen bekannt geworden, dass CyanogenMod entgegen der Behauptungen von The Register nicht von dem genannten Sicherheitsproblem betroffen ist. So hatte gestern ein besorgter Nutzer eine Anfrage im Bugtracking-System JIRA gestellt, ob sein System betrooffen sei. Hierauf antwortete CyanogenMod-Entwickler psychoi3oy schlicht "KitKat does not use JSSE - Android 4.4 is not affected." KitKat nutzt nicht JSSE, Android 4.4 ist nicht betroffen. 

Eine ähnliche Komponente zur Datenvalidierung wurde überdies erst kürzlich gepatcht, was sich im Online-Versionskontrollsystem GitHub einsehen lässt. Somit dürfen wir gleich doppelt beruhigt sein, dass das Custom-ROM entgegen der gestern laut gewordenen Behauptungen nicht die genannte Sicherheitslücke aufweist. 

14 mal geteilt

Top-Kommentare der Community

27 Kommentare

Neuen Kommentar schreiben:
  • "... Andorid 4.4 ist nicht betroffen" ^^?

  • @androidPIT laut bug Tracker schon wieder geschlossen.. ;) respektive gar nie present

    • Ja, das habe ich auch gefunden. Ich werde der News demnächst ein entsprechendes Update spendieren. Wenn du in der Zwischenzeit einen Beleg liefern könntest, damit wir abgleichen können? Ich habe GitHub und Google Code.

  •   20

    süß... Samsung beispielsweise interessiert es einen feuchten - ihr wisst schon was - das beim S3 eine Lücke nicht geschlossen werden kann, weil es kein Update mehr gibt. 'Gefühlt' wissen 10-15% von dem Problem und interessieren tut es mal glatte 1,0-1,5%. Die flashen dann beispielsweise CM11 drauf und sind dann auch informiert und versiert genug dieses Problem mittels alternativem Browser in den Griff zu bekommen. Oder? Also selbst wer CM über den Installer auf sein Phone gezogen hat bekommt das hin.

  • hmm, sehe ich das gerade falsch? Ich nutze das Oneplus One mit CM11s, da ist der aosp-Browser gar nicht drauf. Dann ist ja gut :) Glück gehabt. Wobei ich sowieso immer Firefox for Android nutze.

  •   25

    Betrifft ja nur den AOSP Browser. Deinstallieren und Chrome nutzen.
    Problem solved.

  • den standard Browser deinstallieren und fertig

  • Ich habe CM knapp ne Woche drauf. Und ganz ehrlich mir ist die Sicherheitslücke egal. Sollen die mich mal ausspionieren. Ja klar möchte ich auch das dass Update kommt aber so tragisch ist das auch nicht. ( kommt drauf an was man drauf hat)

  • oh hab cm seit 1 Woche drauf wie mache ich es wieder rückgängig ?????

    • Wozu? Es gibt bald ein Update und damit ist das Problem gelöst.
      CM ist schließlich nicht das Gleiche wie das Stock Andoid diverser Hersteller, für das es unter Umständen niemals ein Update gibt.

  • Einfach einen anderen Browser Benutzen z.B Google Chrome

  • die von CM werden es schon wieder richten, habe volles vertrauen.

    •   21

      CM braucht hier garnichts richten, der Artikel des Herrn Herrmann ist schlicht und ergreifend falsch. Hier schreibt jemand über etwas wovon er nichts versteht !

      • Das ist sehr schön, wie du CM in Schutz nimmst, aber mir falsche Behauptungen zu unterstellen ist nicht korrekt. Lies mal das erste Wort, mit dem ich den Artikel begonnen habe. Mir ist auch aufgefallen, dass an dem Artikel von The Register etwas faul ist. Daher meine vorsichtigen Formulierungen. Soweit ich das beobachten konnte, kann man CM nichts Konkretes nachweisen. Wenn sich das ändert, sag ich bescheid.

      •   14

        Hm, das erste Wort - denn der Teaser zählt nun einmal dazu - lautet 'aufgrund' ;-)

      •   21

        Dann lese ich die Folgenden Wörter und stell fest, das hier jemand Tatsachen verdreht, und ich mich in der Tat Frage ,.... bewusst ? Bei besagtem Fehler handelt es sich um einen Fehler im AOSP Browser ! Nun daraus ein Alleinstellungsmerkmal von CynogenMod zumachen ist schlicht und ergreifen .... Ich verkneif mir das Wort!

  • Naja es gab auch schon Lücken im Kernel, bei denen CM schneller gefixt hat als Google. Das nimmt sich nicht so viel. Sobald unter open source mehrere Distributionen existieren ist das völlig normal.

  •   31

    Super, jetzt muss ich mein OpO verkaufen :p

Zeige alle Kommentare

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!