ABAKUS

arnego2 hat geschrieben: ↑03.12.2019, 01:11 Tja Google hat mal wieder nicht aufgepasst.

https://www.bbc.com/news/technology-50605455

Die Norweger habe es entdeckt, Strand Hogg genauer gesagt: https://promon.co/security-news/strandh ... s-release/

Google hat schon aufgepasst, bzw. schon reagiert. Es gibt bereits einen Patch:

https://www.heise.de/security/meldung/P ... 02506.html

supervisior hat geschrieben: ↑03.12.2019, 12:20 Google hat schon aufgepasst, bzw. schon reagiert. Es gibt bereits einen Patch:

https://www.heise.de/security/meldung/P ... 02506.html

Bei mir ist aufpassen etwas zu verhindern. Im Falle Google wurde erst nach aufdecken der Lücke reagiert, leider.

arnego2 hat geschrieben: ↑03.12.2019, 13:35 Im Falle Google wurde erst nach aufdecken der Lücke reagiert, leider.

Nur für den Fall, dass Dir das entgangen sein sollte, aber das ist eigentlich die Regel.

> Nur für den Fall, dass Dir das entgangen sein sollte, aber das ist eigentlich die Regel.

Ich wüsste auch nicht wie es andersherum gehen sollte.

Viele Smartphones werden eh kein Update mehr bekommen und wenn dann sicher nicht zeitnah. Außer man hat ein Google Pixel.

Wer auf seinem Smartphone/Tablet wichtige Daten speichert, dem ist eh nicht mehr zu helfen. Da wimmelt es schon bei der Werkseinstellung vor Sicherheitslücken und man hat viel weniger Kontrolle als auf einem PC. Von den danach installierten APPs möchte ich gar nicht erst "sprechen".

staticweb hat geschrieben: ↑03.12.2019, 14:12 Ich wüsste auch nicht wie es andersherum gehen sollte.

Kontrolle der Dateien zum Beispiel. Scheint hier ein Fremdwort zu sein.

staticweb hat geschrieben: ↑03.12.2019, 14:12 > Nur für den Fall, dass Dir das entgangen sein sollte, aber das ist eigentlich die Regel.

Ich wüsste auch nicht wie es andersherum gehen sollte.

Naja, andersherum wird es sicherlich auch gehen. Jeder Software Hersteller ist ja aus guten Gründen darauf bedacht oder sollte es zumindest sein, dass Sicherheitslöcher gestopft werden noch bevor man diese auf Seiten Dritter publiziert. Google wird ja wohl nicht so dumm sein eine selbst festgestellte Lücke zuerst zu publizieren und erst 4 Wochen später einen Patch veröffentlichen. Wenn ein Patch veröffentlich wird, dann bekommt man vorher gar nicht mit, dass eine Sicherheitslücke bestand. Es sei denn auf Seiten Dritter wurde die Lücke festgestellt.

> Kontrolle der Dateien zum Beispiel. Scheint hier ein Fremdwort zu sein.

Du willst also den gesamten OS Code kontrollieren? Viel Spaß dabei. Da ist ja der BER eher fertig bevor die nächste Android Version heraus kommt. Selten so etwas unrealistisches gehört.

Es wird immer Sicherheitslücken geben. Gerade auf mobilen Geräten, will ja jeder zeitnah den neuesten Sch... haben. Featuritis hat halt ihre Konsequenzen.

> Jeder Software Hersteller ist ja aus guten Gründen darauf bedacht oder sollte es zumindest sein, dass Sicherheitslöcher gestopft werden noch bevor man diese auf Seiten Dritter publiziert.

ZERO Day Lücken werden z.B. verkauft und nicht veröffentlicht. Das ist nur die Spitze vom Eisberg.

staticweb hat geschrieben: ↑03.12.2019, 16:09 ZERO Day Lücken werden z.B. verkauft und nicht veröffentlicht.

Womit sich (mein) Kreis wieder schließt, dass nicht alle Lücken von Dritter Seite festgestellt werden.

Nun die Bankdaten abgreife sollte sich wohl schon durch einen scan aufdecken lassen. so viele Funktionen zu abgreifen von Daten sind nicht verfügbar. Banken gerade die die Online präsent sind sind auch endlich viele. Für Google sollte es ein Kinderspiel sein Apps zu scannen. Zumal es nicht das erste Mal ist in dem Malware in Google play geendet ist.

arnego2 hat geschrieben: ↑03.12.2019, 18:24 Nun die Bankdaten abgreife sollte sich wohl schon durch einen scan aufdecken lassen. so viele Funktionen zu abgreifen von Daten sind nicht verfügbar. Banken gerade die die Online präsent sind sind auch endlich viele. Für Google sollte es ein Kinderspiel sein Apps zu scannen. Zumal es nicht das erste Mal ist in dem Malware in Google play geendet ist.

So einfach ist das nicht, wie du dir das vorstellst. Bei diesem Angriff werden keine Daten direkt gelesen, sondern die Banking-App wird im Prinzip nachgebaut bzw. ein Teil davon. Der Nutzer denkt, dass er seine Daten in die Banking-App eingibt, in Wirklichkeit gibt er sie aber in die App des Angreifers ein.
Das Verhalten einer App automatisiert komplett zu analysieren ist auch ein ziemlich komplexes Thema (mathematisch gesehen sogar unmöglich), und es gibt unzählige Wege, wie man als Angreifer dieses Unterfangen erschweren kann.

> Nun die Bankdaten abgreife sollte sich wohl schon durch einen scan aufdecken lassen. so viele Funktionen zu abgreifen von Daten sind nicht verfügbar.

Denkst du wirklich alle Angriffsszenarios werden offen im Quelltext gekennzeichnet. Es handelt sich um Sicherheitslücken, die dann natürlich auch der Scanner nicht kennt.

Wer Banking unbedingt am SmartPhone machen muss, weil es in ist, sollte halt aufpassen, dass sein SmartPhone "sauber" bleibt. Da aber bereits beim Kauf APPs vorinstalliert sind, die sich nicht deinstallieren lassen, ist das unrealistisch.

arnego2 hat geschrieben: ↑03.12.2019, 18:24 Für Google sollte es ein Kinderspiel sein Apps zu scannen. Zumal es nicht das erste Mal ist in dem Malware in Google play geendet ist.

Scannen nach was denn? Nach unbekannten schwachstellen? Wie soll das gehen wenn du selbst nicht weisst nach was du suchen musst?!
Nach boesem code? Dann wird eben wie bei PHP ode SQL der code in einen anderen zeichensatz vor und wieder zurueckkonvertiert sodass z.b. eval() oder ander befehle im quellcode nicht direkt als zeichenkette auftauchen.

Hanzo2012 hat geschrieben: ↑03.12.2019, 18:45 So einfach ist das nicht, wie du dir das vorstellst. Bei diesem Angriff werden keine Daten direkt gelesen, sondern die Banking-App wird im Prinzip nachgebaut bzw. ein Teil davon. Der Nutzer denkt, dass er seine Daten in die Banking-App eingibt, in Wirklichkeit gibt er sie aber in die App des Angreifers ein.
Das Verhalten einer App automatisiert komplett zu analysieren ist auch ein ziemlich komplexes Thema (mathematisch gesehen sogar unmöglich), und es gibt unzählige Wege, wie man als Angreifer dieses Unterfangen erschweren kann.

Kann sein das ich übermäßig einfach darstelle, nur die Fähigkeiten Google sollte weit über unsere hinausgehen.
Eine falsche Banken app zu catchen sollte nicht so schwer sein immerhin bekommt Google Daten, auch wenn sich Google Play Konten erwerben lassen.

IMHO wenn Google es wollte könnte Google es verhindert haben.

nerd hat geschrieben: ↑03.12.2019, 20:11 Scannen nach was denn?

Den Banken zum Beispiel welche App braucht deine Bankdaten um Bilder zu posten?

Arnego. Du solltest dich erstmal informieren, wie die Sicherheitslücke aussah und wie sie ausgenutzt wurde, bevor du solche (naiven) Vorschläge machst.