Nachrichten in aller Kürze
Alles zur Community
Nachrichten, die zu Ihnen kommen: Newsletter, Feeds und SMS
Alles zu unseren mobilen Angeboten: Apps, Mobilversion und SMS
Unsere Radio- und TV-Angebote
Die Zeitung im Internet: Abo, E-Paper, Anzeigen und mehr
Alles über die Redaktion von derStandard.at
Alles über Onlinewerbung, Stellenanzeigen und Immobilieninserate
Es kursiert bereits ein funktionstüchtiger Exploit für die Sicherheitslücke im Kernel für Exynos-4-Geräte.
Mit einer kritischen Sicherheitslücke in einer ganzen Reihe seiner Android-Gerätschaften sieht sich derzeit der Hardwarehersteller Samsung konfrontiert. Mittels eines simplen Exploits lassen sich die betroffenen Smartphones und Tablets vollständig übernehmen.
In einem Eintrag auf XDA Developers beschreibt jener Entwickler, der die Lücke aufgespürt hat, diese im Detail. So hat sich Samsung offenbar im Kernel-Code für die eigenen Exynos-4-Prozesseren (4210 und 4412) einen gehörigen Patzer geleistet: Jede App hat vollständige Lese- und Schreibberechtigungen auf das gesamte RAM.
Dieser Umstand kann nicht nur zum Ausspionieren des Systems genutzt werden, sondern auch um Root-Rechte zu bekommen - und in Folge beliebige Modifikationen an der Softwareausstattung vorzunehmen und eventuell Schadsoftware einzuschleusen. Parallel zur Problembeschreibung wurde auch gleich ein Proof-of-Concept-Programm veröffentlicht.
Zu den betroffenen Geräten gehören unter anderem das Galaxy S2 und dessen Nachfolger S3, Note 1 und 2, die Tablets Galaxy Tab 2 und Note 10.1 sowie die noch ganz neue Galaxy Camera und diverse Galaxy Player-Modelle. Auch das Meizu MX ist betroffen, da man hier ebenfalls den Kernel von Samsung verwendet hat.
Eine Stellungnahme oder gar einen Zeitplan für die Schließung der Lücke gibt es von Samsung bislang nicht, das Unternehmen wurde über den Fehler aber mittlerweile in Kenntnis gesetzt. Statt dessen hat ein weiterer findiger Entwickler aus der Community zumindest einen teilweisen Workaround entwickelt. Mit dem Programm "Voodoo Anti ExynosMemAbuse" lässt sich nicht nur checken, ob das eigene Gerät betroffen ist, wer will kann die Lücke - zumindest teilweise - abdichten, Modifikationen am System sind dabei ebenso wenig notwendig wie Root-Rechte.
Allerdings ist das Ganze mit diversen Nebeneffekten verbunden, so funktioniert bei einigen Geräten anschließend der HDMI-Ausgang nicht mehr korrekt, bei anderen wiederum geht in Folge die Kamera nicht mehr. Aus diesem Grund lässt sich der Fix auch gezielt an- und abschalten. Einen Fix ohne Nebeneffekte - oder Modifikationen am System - kann hingegen lediglich Samsung selbst liefern, bleibt abzuwarten in welchem Zeitrahmen das Unternehmen auf die aktuelle Problematik zu reagieren vermag. (apo, derStandard.at, 17.12.12)
derStandard.at/SMS: Nachrichten in Echtzeit auf Ihr Handy! 
"Schichten"-System soll Anpassbarkeit an unterschiedliche Hardware verbessern
Auch restliche Hardware soll Upgrade erhalten - Preis bleibt gleich
Google soll Vorstellung absichtlich verschoben haben
Googles Betriebssystem mittlerweile auf fast drei Viertel aller neuen Geräte
Ab 26. Juni wird das Smartphone in den USA verkauft - Vorerst kein Europastart
Im Jahr 2012 hatte Google erst 400 Millionen aktivierte Android-Geräte gemeldet
Über Handlichkeit jenseits von Galaxy Note und Co.
Fotos kurz vor der Konferenz aufgetaucht - Als "Special Edition" für Anwesende gedacht?
Laut Angaben von Samsung – vier Millionen in den ersten vier Tagen
Großes Update für Play Services bringt nicht nur Spiele-relevantes - "People Details" und "Location Reporting" ebenfalls per Sync
Das totgesagte Facebook-Smartphone von HTC ist laut AT&T aber noch nicht gefloppt
Neues Modell mit 4,6-Zoll-Display, 13-Megapixel-Kamera und LTE
Soll Kommunikation mit den NutzerInnen erheblich verbessern
Lagerbestände gehen zurück und Preise fallen - Smartphone soll mehr Speicher und LTE bekommen
Display mit 1.920 x 1.200 Pixel, schnellere CPU, Android 4.3 - Soll schon kommende Woche präsentiert werden
Session-Planung für TeilnehmerInnen, Video-Streams für zuhause Gebliebene
Durchdachtes Gerät mit Tauchqualitäten und LTE überzeugt im Alltag
Spezifikationen lassen Preis im unteren Segment vermuten
Mit weitgehend unverändertem Android 4.2.2 ausgestattet - Quad-Core Snapdragon 600 Prozessor
Auch weitere Android-Modelle und das iPhone sollen bald genehmigt werden
Zwei einfache Methoden lassen Malware ihrer Erkennung entgehen
Unlock-Tool für Motorolaphones knackt auch Samsungs neues Telefon
Ende des zweiten Quartals soll eine günstigere Version des Flaggschiffs nachrücken
Gingerbread unangefochten auf Platz eins
Always-on für Spracheingabe, Kopplung an Chrome und weitere Gerüchte
oh, da bin ich ja offensichtlich eh schon an einen dieser trolle geraten! wenn nicht: sie wissen mit sicherheit wie ich das gemeint habe. denn hier sieht man, dass es absolut keinen unterschied macht ob es ein closed source os wie ios oder ein (angeblich) open source os wie android ist - in der realität laufen 99% (wenn's reicht) aller "android"-smartphones wie ein closed source system. und der endkunde hat genau gar nix davon dass android selbst open source ist. das ist der punkt.
naja, getrollt hat er nicht wirklich, aber er hat einen punkt getroffen: der linux kernel ist unter der GPL lizensiert, dadurch muss samsung den eigenen, modifizierten kernel ebenfalls unter der GPL veroeffentlichen und das hat das finden der luecke ermoeglicht/vereinfacht. so gesehen hat der endkunde schon etwas davon, auch wenn man ewig darueber diskutieren koennte ob es nun gut ist, wenn jeder der lust hat sicherheitsluecken im quellcode suchen kann.
meiner meinung nach ist das verkaufte endprodukt "android-smartphone" nicht mehr und nicht weniger open source wie ein rechner mit mac os x. da ist auch der unterbau open source (darwin), sogar etliche treiber (siehe opensource.apple.com), aber niemand käme auf die idee zu behaupten, der endnutzer von mac os x hat ein open source system mit allen seinen vorteilen. und ich sags hier, damit es nicht falsch verstanden wird: android und die android-smartphones sind klasse, und ich hab absolut nichts dagegen, ganz im gegenteil.
wobei da schon ein unterschied zwischen osx und darwin ist, also es kann keiner hergehen und sich selbst ein osx mit graphischer oberfaleche und allem drum und dran zusammenkompilieren, nur weil ihm fad ist und auch die kompatibilitaet von programmen zwischen darwin und osx ist nicht immer und in jede richtung gegeben.
und das geht halt bei android schon, weil eben opensource. ob die mehrheit der leute einen nutzen draus hat ist fraglich und natuerlich ist es "open source" alleine kein argument fuer android (man stelle sich vor, microsoft wuerde windows me ploetzlich unter die gpl stellen...) aber es ist halt eine nette draufgabe und 1.5 bis 3 millionen nutzer von beispielsweise cyanogenmod sind zwar nur ein winziger teil aller androiduser, aber jetzt auch nicht so wenige (http://stats.cyanogenmod.com/)
ich spreche android ja nicht seine "open-source-ität" ab. wie oft hört man "das iphone ist gacki weil mein samsung ist open-source" (vereinfacht, bevor ich jetzt wieder gesteinig werde weil ich ja angeblich nicht weiß was "open-source" bedeutet)? das ist einfach kein argument, solche bugs können jedem hersteller passieren (siehe pdf-safari-lücke bei ios, mit dem man gleich den jailbreak einspielen konnte). aber wenn mir wer verkaufen will, dass ein galaxy so sicher ist weil android open source ist dann ist das einfach totaler mist - wie man ja am beispiel hier fein sieht.
ps: wer da rot strichelt hat auch ordentlich einen an der waffeln. endlich mal vernünftig diskutieren und dann
gibt einer rot...
das rot kommt immer so in wellen daher hab ich den eindruck, vermutlich dauert das aus-/einloggen in den zweitaccount ein bisschen...
natuerlich passieren solche bugs jedem hersteller, wobei der um's den hier geht wirklich eine ziemliche dummheit war, und open oder closed source aendert da nichts dran. worueber man diskutieren kann ist die frage ob es besser ist wenn sicherheitsluecken von jedem gefunden werden koennen (oss) oder nur vom hersteller/bzw. mit mehr aufwand (closed source). ich halte oss in dem fall fuer besser, und finde der endkunde hat auch einen nutzen davon, weil fehler zumindest bekannt gemacht werden, aber das ist nur meine meinung.
sonst: trolle sind halt trolle, da vernunft reinbringen zu wollen bringt nicht viel :)
Nur das dieses Beispiel mMn nichts damit zu tun hat wie weit Android jetzt Open Source ist oder nicht.
Denn es wird ja wohl keiner Behaupten das Linux plötzlich nicht mehr Open Source ist, nur weil z.B. Nvidia mit seinen Grafikkartentreibern irgendeine Sicherheitslücke produziert und die dann nur von Nvidia per Update geschlossen werden kann.
.. wie kann sich der konsument, bis es einen bugfix gibt, schützen?
ist es nun noch sicher, mit der kreditkarte im playstore einzukaufen oder seine emails zu checken? oder gar seinen passwortmanager aufzurufen?
was kann man tun um sicher zu gehen, dass hier nix passiert?
gerät verschlüsseln? derweil keine neuen apps installieren?
"die frage ist nun... wie kann sich der konsument, bis es einen bugfix gibt, schützen?"
Indem er endlich lesen lernt???
Beispielsweise den eigentlich eh kurzen und sehr simplen Artikel, unter dem er postet?
"Mit dem Programm "Voodoo Anti ExynosMemAbuse" lässt sich nicht nur checken, ob das eigene Gerät betroffen ist, wer will kann die Lücke - zumindest teilweise - abdichten, Modifikationen am System sind dabei ebenso wenig notwendig wie Root-Rechte."
besitze ich ein 104€ Wert Smartphone von Samsung und incl mitn nem propertären Prozessor von Broadcom (bcm21553, bei xda-dev gibts schon unterstützung seitens Broadcom)
Da kann nicht vieles passieren (außer dass z.B. Galaxy y oder Galaxy ACE i-Modell kein gscheites AOSP habn)
das es die unschuldsvermutung samsung verbrochen hat, ist es kein problem, denn samsung ist gut und darf fehler machen und die leute die 400-600euro (bei 32gb geraeten mehr) fuer ihre samsung geraete aussgegeben haben haben kein anrecht auf ein perfekt funktionierendes bug- und sicherheitsfehlerfreies geraet u. "freiheit" ohne rooten zu muessen, das gilt nur fuer "dumme fanboys"
und bei samsung wird man auch nicht nach gutem verschwoerungstheorieprinzip annehmen, dass man diese luecke irgendwie aus unlauteren gruenden zuliess, wie z.b. ihre benutzer auszuspionieren, wie man es bei apple bei irgenwelchen sicherheitsluecken immer annimmt
von nur ueblichen 1/10 aufgeregten kommentare im vergleich zu einem applebugs
beruhig dich wieder. niemand verteidigt samsung für diesen pfusch.
ob man bei lächerlichen 600 eur für etwas so komplexes schon anrecht auf ein "perfektes" system hat, sei dahingestellt. geschafft hat es jedenfalls noch niemand.
nicht google, nicht samsung und erst recht nicht apple.
sind fuer einen androidenfan 600euro laecherlich? man kann kaum ueber apple lesen, ohne dass die artikel mit "apple shice und zu teuer und android/samsung supi da billiger und nicht shice" zugemuellt wird
fuer mich, wie bestimmt fuer viele andere sind 400+ fuer ein smartphone viel geld und dafuer erwarte ich mir, dass die herrsteller dafuer sorge tragen, dass mein geraet(e system) nicht offen fuer alle steht und keine grobe luecken hat
mir ist es wurscht ob apple auch sicherheitsluecken hatte, wenn ich ein android habe - und ich habe volles recht darauf herumzuraunzen, wenn ich sehe, dass samsung einfach auf seine kunden s...sst, denn dieses desaster ist nicht das erste mal, wo samsung grob fahrlaessig ist bei seinen HOCHpreisgeraeten!
kennst preise für zumindest zu 99% fehlerfreie software? offenbar nicht.
was man den ganzen buden vorwerfen kann, ist das sie nicht offen und ehrlich auf die packungen schreiben: läuft großteils, mehr aber auch schon nicht.
denn wirklich sichere und fehlerfreie systeme kosten mehr geld als sich dauerraunzer so vorstellen können. geld das niemand bereit ist zu bezahlen.
wenn man sich mal die erklärung genauer ansieht verliert man jeglichen respekt vor den softwareleuten bei samsung. grob fahrlässig.
da wurde anscheinend von denen selbst eine sicherheitsfunktion umgangen um sich die arbeit zu vereinfachen.
ich hoffe das wird schnellstmöglich repariert, sonst werde ich meinen odroid u2 wieder abbestellen.
eigentlich liegt der fehler nicht direkt im treiber, sondern im kernel von samsungs android-build, den koennen die odroidleute ja patchen, sofern sie ueberhaupt diese treiber brauchen und samsungs android-variante dafuer verwenden.
die antwort wuerd' mich aber auch interessieren.
Also das ist ja nun wirklich keine Neuigkeit. Man weiß ja schon ewig, dass das Thema Sicherheit bei Android im Algemeinen und bei Samsung im Besonderen nicht gerade die Top-Priorität ist.
Das ist ja auch der Grund dafür, dass Android-Smartphones im Firmen-Umfeld genauso beliebt sind wie das Weihwasser beim Teufel.
Aber andererseits: jetzt versteh ich endlich, was Google mit dem Schlagwort OPEN handset alliance gemeint hat.
Dachte ja bisher, das hätte was mit Quelloffenheit zu tun, aber jetzt...
Die üblichen Android-Sicherheitsmechanismen? Eine App hat nicht so einfach Zugriff auf andere Apps, das ist ja kein Desktop-System ;) Und solange der Fix läuft, bekommst du auch keinen Root-Zugang, über den du diese Mechanismen aushebeln kannst.
Ist natürlich möglich, dass ich etwas übersehe, insofern: Wenn du (oder wer anderer) eine Idee hat, wie dieses Ausschalten konkret umgesetzt werden soll: Bitte posten.
Wobei ich aber natürlich zustimme: Eine adäquate Lösung ist das natürlich nicht...
der chmod fix aus dem xda-thread hat das problem, dass er bei jedem booten neu ausgefuehrt werden muss und da nicht sichergestellt werden kann, dass der fix als erstes laeuft, koennte eine andere app die schwachstelle ausnuetzen, bevor der fix rennt.
dass der fix einfach so ohne neustart ein und ausgeschalten werden kann, bezweifle ich eigentlich, egal ob von der fix-app oder einer anderen, zumindest auf ungerooteten geraeten.
ja, die ExynosAbuse app (falls die gemeint ist), nutzt eben diesen exploit um root-zugriff zu bekommen und kann daher danach den exploit auch nach belieben de/aktivieren. andere apps koennen bei deaktiviertem exploit (deaktiviert klingt etwas bloed, zugegeben) nichts mehr machen, solang nicht neu gestartet wird.
quelle: http://forum.xda-developers.com/showthrea... ?t=2050297
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.