Nachrichten in aller Kürze
Alles zur Community
Nachrichten, die zu Ihnen kommen: Newsletter, Feeds und SMS
Alles zu unseren mobilen Angeboten: Apps, Mobilversion und SMS
Unsere Radio- und TV-Angebote
Die Zeitung im Internet: Abo, E-Paper, Anzeigen und mehr
Alles über die Redaktion von derStandard.at
Alles über Onlinewerbung, Stellenanzeigen und Immobilieninserate
Samsungs S-Memo-App geht unvorsichtig mit Userdaten um...
vergrößern 720x471...und speichert die Google-Kontodaten im Klartext ab.
Ein Android-Gerät zu rooten eröffnet zahlreiche neue Verwendungsmöglichkeiten, setzt den User durch die Umgehung systeminhärenter Sicherheitsmechanismen aber auch potenziell großer Gefahr aus.
Ein Risiko für User von Geräten von Samsungs Galaxy-Reihe, abgesehen vom Galaxy Nexus-Smartphone, stellt offenbar die vorinstallierte Notiz- und Erinnerungs-App "S-Memo" dar. Wie graffixnyc, User der XDA-Entwicklerforen, herausgefunden hat, speichert das Programm sensible Daten im Klartext.
Wie sich beim Öffnen der von S-Memo angelegten SQLite-Datenbankdateien zeigte, gehört auch das Google-Konto des Nutzers zu eben diesen Informationen. Fatal ist allerdings, dass Username und Passwort im Klartext abgespeichert sind. Sollte sich jemand Zugriff auf das Gerät verschaffen können, was durch das Rooten ohne entsprechender Sicherheitsmaßnahmen erleichtert wird, ist damit die Übernahme des Google-Accounts des Betroffenen möglich.
Betroffen scheinen tatsächlich nur Nutzer zu sein, die sich erweiterte Rechte auf ihrem Gerät beschafft haben (und nur dann lassen sich besagte SQL-Files einfach so auslesen). Trotzdem ist es ein Versäumnis der Programmierer, dass heikle Logindaten von der Samsung-App unverschlüsselt hinterlegt werden, wie User ViViDboarder korrekt anmerkt. Das Problem wird intensiv im Forenthread diskutiert.
Das XDA-Team ruft nun in einem Blogpost dazu auf, mehr Vorsicht im Umgang mit gerooteten Handys und Tablets walten zu lassen, da eben nicht jedem Entwickler vorsichtiger Umgang mit Nutzerdaten zugetraut werden kann. (red, derStandard.at, 13.11.2012)
Mit derStandard.at/Mobil sind Sie unterwegs immer top-informiert - mit Liveberichten und Postings!
Errechnet Privacy-Score für jedes einzelne Programm und bewertet Rechte
Innenministerin Mikl-Leitner will digitale Straftaten auch bei StGB-Novelle diskutieren
US-Politiker machen Iran verantwortlich
Möglicherweise bis zu 22 Millionen Benutzerkennungen ausgespäht
Untersuchungen sollen Ursprung des Spionage-Tools abklären
Microsoft lanciert Warnung - Schädling tarnt sich als Browser-Erweiterung
Kaspersky: Spammer weichen allerings immer öfter auf soziale Netzwerke aus
Sicherheitsforscher konnten über ungepatchte Lücke auf Gebäudeverwaltung zugreifen
Vertrag gilt für ein Jahr und zehn Rechner
"Man braucht nur wenige Klicks, bis man am virtuellen Schaltpult eines Heizkraftwerks steht"
Twitter rechnet künftig mit weiteren Attacken auf Medien
Polizei warnt vor Schädling - Virus versucht, Geld vom User zu erpressen
Unbekannten kopierten komplette Kreditkartensätze von Servern der Plattform Traveltainment
Nicht signierten Applets wird nun stets eine Warnung vorgeschalten
Angesichts der großangelegten Brute-Force-Attacke sollte einiges beachtet werden
Framework "SIMON" schleust sich in Flugmanagementsysteme ein - Übertragungsprotokoll anfällig
Malware installiert Bitcoin-Mining-System im Hintergrund und sorgt für spürbaren Performance-Einbruch des Computers
Mit Hilfe von Trojanern kann der ganze Rechner in die Kontrolle Dritter gelangen - Webcam inklusive
Sicherheitsexperten machen auf Sicherheitslücken bei vernetzten Kameras aufmerksam
Angriff zeigt Handlungsbedarf für Sicherheit von Internet-Verbindungen
Angeblich intensive Attacken auf staatliche Server
Seit Sonntag wurde Schadsoftware 70.000 Mal erkannt
Stundenlang kein Zugriff für Kunden der US-Bank
Größere Gefahr für die Sicherheit der USA als der Terrorismus
Googles hochdotierter Hacker-Wettbewerb Pwnium 3 sah keinen Sieger
Passwörter im Klartext sind absolut kein Problem - lasst euch das vom freundlichen Experten des Preisvergleichportals geizhals.at erklären:
http://forum.geizhals.at/t714917,-1.html
Es ist sicher nachlässig, aber:
Normalerweise hat nur jene App der dieser Dateisystembereich gehört Zugriff auf die eigene private SQLite-Datenbank. Andere Apps können das nicht mal auslesen.
Selbst wenn das Gerät gerootet ist, bedeutet das NICHT dass jede App Zugriff auf alles hat - man muß noch immer selektiv jeder einzelnen App Superuser-Rechte geben, sonst verhält sich die App genauso wie auf einem ungerooteten Gerät.
In der Regel ist es empfehlenswert bei Root auch wirklich nur absolut sicheren Programmen von denen man die Herkunft kennt Superuser-Rechte zu geben - das dürften hauptsächlich die drei Programme ROM Manager, Titanium Backup, und Root Explorer sein.
Im Artikel wird nicht erwähnt dass man beim Rooten in der Regel die Superuser-App hat, bei der man nur bestimmten Apps Superuser-Rechte (also root-Rechte) geben kann, und dies nur sehr konservativ tun sollte.
Es ist nicht so dass jede App auf einem gerooteten Handy Zugriff auf alles hat.
Es geht eher darum, dass jemand Dein Handy stiehlt, sich root-Zugriff verschafft, Dein Google-Passwort erhält und damit Zugriff auf Dein Google-Konto hat.
Ob jetzt andere Apps root-Zugriff haben oder nicht, ist egal. Der Bösewicht hat root-Zugriff und das reicht.
Nein, zum Appkauf sind die Google-Credentials vonnöten, bzw. nimmt der Play Store die Google-Credentials die im System gespeichert sind (allerdings die im System verschlüsselt hinterlegt sind, nicht die von S-Memo).
Wenn man das Passwort ändert müsste man am Handy dann diese Credentials auch ändern - d.h. wenn das Handy gestohlen ist und man ändert das Passwort, kann der Dieb auch nimmer in Ihrem Namen Apps kaufen/runterladen.
Die App die darauf zugreift muß selbst root-Rechte haben, sonst hat es nicht mal Lesezugriff, da der betreffende App-Bereich pro App privat ist.
Da man jede App in der Regel bestätigen muß mittels Superuser, ist das zwar schon ein Risiko, aber jetzt nicht so dass es ein komplett offenes Scheunentor per se ist.
Root ist sowieso nur erfahrenen Usern zu empfehlen, die nur einer Handvoll ausgewählter Apps (konkret vermutlich mehrheitlich Titanium Backup, ROM Manager und Root Explorer) Root-Rechte geben.
Andere Apps haben keine Möglichkeit auf die SQLite-Datenbank einer anderen App (die im privaten Dateisystembereich der App liegt) zuzugreifen.
Also, damit das klargestellt ist: ein gerootetes Gerät an sich ist absolut kein Problem - solange man keinem einzigen App Superuser-Rechte gibt, verhält es sich ident wie ein normales Gerät bezüglich Zugriffsrechte.
Und danach muß man einzeln für Apps die das anfordern erlauben dass sie Root-Rechte bekommen - das geschieht nicht automatisch oder gleich allgemeingültig für alle Apps.
D.h. das Problem ist nicht das Rooten des Geräts, sondern das Root-Rechte-Erteilen pro App - hier sollte man vorsichtig sein, aber das weiß man eh.
Sie haben's noch nicht verstanden: ein gerootetes Gerät an sich öffnet die Lücke noch nicht, das ist noch kein Sicherheitsrisiko.
Das Sicherheitsrisiko ist wenn Apps mit Superuser/Root-Berechtigung ausgeführt werden - was man für jede einzelne App bestätigen muß.
"Superuser" (bzw. Root) ist ein Rechte-Attribut das Apps bekommen, nicht die Benutzer des Systems.
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.
