Warum registrieren? Nur als registriertes Mitglied vom ABAKUS Forum hast Du vollen Zugriff auf alle Funktionen unserer Website.

Google und die hacker

Das Board für die kleine Abwechslung. Hast Du was lustiges im Web gefunden oder was offtopic dann hier rein!
Benutzeravatar
arnego2
PostRank 9
PostRank 9
Beiträge: 1713
Registriert: 23.02.2016, 13:55

Beitrag von arnego2 » 03.12.2019, 01:11

Tja Google hat mal wieder nicht aufgepasst.

https://www.bbc.com/news/technology-50605455

Die Norweger habe es entdeckt, Strand Hogg genauer gesagt: https://promon.co/security-news/strandh ... s-release/
Arnego2 <Webseiten ab 80 Euro>

Anzeige von:

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002
  • persönliche Betreuung
  • individuelle Beratung
  • kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.


supervisior
PostRank 9
PostRank 9
Beiträge: 1256
Registriert: 26.06.2006, 09:11

Beitrag von supervisior » 03.12.2019, 12:20

arnego2 hat geschrieben:
03.12.2019, 01:11
Tja Google hat mal wieder nicht aufgepasst.

https://www.bbc.com/news/technology-50605455

Die Norweger habe es entdeckt, Strand Hogg genauer gesagt: https://promon.co/security-news/strandh ... s-release/
Google hat schon aufgepasst, bzw. schon reagiert. Es gibt bereits einen Patch:

https://www.heise.de/security/meldung/P ... 02506.html

Benutzeravatar
arnego2
PostRank 9
PostRank 9
Beiträge: 1713
Registriert: 23.02.2016, 13:55
Kontaktdaten:

Beitrag von arnego2 » 03.12.2019, 13:35

supervisior hat geschrieben:
03.12.2019, 12:20
Google hat schon aufgepasst, bzw. schon reagiert. Es gibt bereits einen Patch:

https://www.heise.de/security/meldung/P ... 02506.html
Bei mir ist aufpassen etwas zu verhindern. Im Falle Google wurde erst nach aufdecken der Lücke reagiert, leider.
Zuletzt geändert von arnego2 am 03.12.2019, 15:16, insgesamt 1-mal geändert.
Arnego2 <Webseiten ab 80 Euro>

supervisior
PostRank 9
PostRank 9
Beiträge: 1256
Registriert: 26.06.2006, 09:11

Beitrag von supervisior » 03.12.2019, 14:03

arnego2 hat geschrieben:
03.12.2019, 13:35
Im Falle Google wurde erst nach aufdecken der Lücke reagiert, leider.
Nur für den Fall, dass Dir das entgangen sein sollte, aber das ist eigentlich die Regel.

staticweb
PostRank 9
PostRank 9
Beiträge: 1585
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 03.12.2019, 14:12

> Nur für den Fall, dass Dir das entgangen sein sollte, aber das ist eigentlich die Regel.

Ich wüsste auch nicht wie es andersherum gehen sollte. :-)

Viele Smartphones werden eh kein Update mehr bekommen und wenn dann sicher nicht zeitnah. Außer man hat ein Google Pixel.

Wer auf seinem Smartphone/Tablet wichtige Daten speichert, dem ist eh nicht mehr zu helfen. Da wimmelt es schon bei der Werkseinstellung vor Sicherheitslücken und man hat viel weniger Kontrolle als auf einem PC. Von den danach installierten APPs möchte ich gar nicht erst "sprechen".

Benutzeravatar
arnego2
PostRank 9
PostRank 9
Beiträge: 1713
Registriert: 23.02.2016, 13:55
Kontaktdaten:

Beitrag von arnego2 » 03.12.2019, 15:17

staticweb hat geschrieben:
03.12.2019, 14:12
Ich wüsste auch nicht wie es andersherum gehen sollte. :-)
Kontrolle der Dateien zum Beispiel. Scheint hier ein Fremdwort zu sein. :lol:
Arnego2 <Webseiten ab 80 Euro>

supervisior
PostRank 9
PostRank 9
Beiträge: 1256
Registriert: 26.06.2006, 09:11

Beitrag von supervisior » 03.12.2019, 15:20

staticweb hat geschrieben:
03.12.2019, 14:12
> Nur für den Fall, dass Dir das entgangen sein sollte, aber das ist eigentlich die Regel.

Ich wüsste auch nicht wie es andersherum gehen sollte. :-)
Naja, andersherum wird es sicherlich auch gehen. Jeder Software Hersteller ist ja aus guten Gründen darauf bedacht oder sollte es zumindest sein, dass Sicherheitslöcher gestopft werden noch bevor man diese auf Seiten Dritter publiziert. Google wird ja wohl nicht so dumm sein eine selbst festgestellte Lücke zuerst zu publizieren und erst 4 Wochen später einen Patch veröffentlichen. Wenn ein Patch veröffentlich wird, dann bekommt man vorher gar nicht mit, dass eine Sicherheitslücke bestand. Es sei denn auf Seiten Dritter wurde die Lücke festgestellt.

staticweb
PostRank 9
PostRank 9
Beiträge: 1585
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 03.12.2019, 16:09

> Kontrolle der Dateien zum Beispiel. Scheint hier ein Fremdwort zu sein.

Du willst also den gesamten OS Code kontrollieren? Viel Spaß dabei. Da ist ja der BER eher fertig bevor die nächste Android Version heraus kommt. Selten so etwas unrealistisches gehört.

Es wird immer Sicherheitslücken geben. Gerade auf mobilen Geräten, will ja jeder zeitnah den neuesten Sch... haben. Featuritis hat halt ihre Konsequenzen.

> Jeder Software Hersteller ist ja aus guten Gründen darauf bedacht oder sollte es zumindest sein, dass Sicherheitslöcher gestopft werden noch bevor man diese auf Seiten Dritter publiziert.

ZERO Day Lücken werden z.B. verkauft und nicht veröffentlicht. Das ist nur die Spitze vom Eisberg.

supervisior
PostRank 9
PostRank 9
Beiträge: 1256
Registriert: 26.06.2006, 09:11

Beitrag von supervisior » 03.12.2019, 17:09

staticweb hat geschrieben:
03.12.2019, 16:09
ZERO Day Lücken werden z.B. verkauft und nicht veröffentlicht.
Womit sich (mein) Kreis wieder schließt, dass nicht alle Lücken von Dritter Seite festgestellt werden.

Benutzeravatar
arnego2
PostRank 9
PostRank 9
Beiträge: 1713
Registriert: 23.02.2016, 13:55
Kontaktdaten:

Beitrag von arnego2 » 03.12.2019, 18:24

Nun die Bankdaten abgreife sollte sich wohl schon durch einen scan aufdecken lassen. so viele Funktionen zu abgreifen von Daten sind nicht verfügbar. Banken gerade die die Online präsent sind sind auch endlich viele. Für Google sollte es ein Kinderspiel sein Apps zu scannen. Zumal es nicht das erste Mal ist in dem Malware in Google play geendet ist.
Arnego2 <Webseiten ab 80 Euro>

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1762
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 03.12.2019, 18:45

arnego2 hat geschrieben:
03.12.2019, 18:24
Nun die Bankdaten abgreife sollte sich wohl schon durch einen scan aufdecken lassen. so viele Funktionen zu abgreifen von Daten sind nicht verfügbar. Banken gerade die die Online präsent sind sind auch endlich viele. Für Google sollte es ein Kinderspiel sein Apps zu scannen. Zumal es nicht das erste Mal ist in dem Malware in Google play geendet ist.
So einfach ist das nicht, wie du dir das vorstellst. Bei diesem Angriff werden keine Daten direkt gelesen, sondern die Banking-App wird im Prinzip nachgebaut bzw. ein Teil davon. Der Nutzer denkt, dass er seine Daten in die Banking-App eingibt, in Wirklichkeit gibt er sie aber in die App des Angreifers ein.
Das Verhalten einer App automatisiert komplett zu analysieren ist auch ein ziemlich komplexes Thema (mathematisch gesehen sogar unmöglich), und es gibt unzählige Wege, wie man als Angreifer dieses Unterfangen erschweren kann.

staticweb
PostRank 9
PostRank 9
Beiträge: 1585
Registriert: 04.05.2016, 14:34

Beitrag von staticweb » 03.12.2019, 19:06

> Nun die Bankdaten abgreife sollte sich wohl schon durch einen scan aufdecken lassen. so viele Funktionen zu abgreifen von Daten sind nicht verfügbar.

Denkst du wirklich alle Angriffsszenarios werden offen im Quelltext gekennzeichnet. Es handelt sich um Sicherheitslücken, die dann natürlich auch der Scanner nicht kennt.

Wer Banking unbedingt am SmartPhone machen muss, weil es in ist, sollte halt aufpassen, dass sein SmartPhone "sauber" bleibt. Da aber bereits beim Kauf APPs vorinstalliert sind, die sich nicht deinstallieren lassen, ist das unrealistisch.

nerd
PostRank 10
PostRank 10
Beiträge: 4110
Registriert: 15.02.2005, 04:02

Beitrag von nerd » 03.12.2019, 20:11

arnego2 hat geschrieben:
03.12.2019, 18:24
Für Google sollte es ein Kinderspiel sein Apps zu scannen. Zumal es nicht das erste Mal ist in dem Malware in Google play geendet ist.
Scannen nach was denn? Nach unbekannten schwachstellen? Wie soll das gehen wenn du selbst nicht weisst nach was du suchen musst?!
Nach boesem code? Dann wird eben wie bei PHP ode SQL der code in einen anderen zeichensatz vor und wieder zurueckkonvertiert sodass z.b. eval() oder ander befehle im quellcode nicht direkt als zeichenkette auftauchen.

Benutzeravatar
arnego2
PostRank 9
PostRank 9
Beiträge: 1713
Registriert: 23.02.2016, 13:55
Kontaktdaten:

Beitrag von arnego2 » 03.12.2019, 21:13

Hanzo2012 hat geschrieben:
03.12.2019, 18:45
So einfach ist das nicht, wie du dir das vorstellst. Bei diesem Angriff werden keine Daten direkt gelesen, sondern die Banking-App wird im Prinzip nachgebaut bzw. ein Teil davon. Der Nutzer denkt, dass er seine Daten in die Banking-App eingibt, in Wirklichkeit gibt er sie aber in die App des Angreifers ein.
Das Verhalten einer App automatisiert komplett zu analysieren ist auch ein ziemlich komplexes Thema (mathematisch gesehen sogar unmöglich), und es gibt unzählige Wege, wie man als Angreifer dieses Unterfangen erschweren kann.
Kann sein das ich übermäßig einfach darstelle, nur die Fähigkeiten Google sollte weit über unsere hinausgehen.
Eine falsche Banken app zu catchen sollte nicht so schwer sein immerhin bekommt Google Daten, auch wenn sich Google Play Konten erwerben lassen.

IMHO wenn Google es wollte könnte Google es verhindert haben.

nerd hat geschrieben:
03.12.2019, 20:11
Scannen nach was denn?
Den Banken zum Beispiel welche App braucht deine Bankdaten um Bilder zu posten?
Arnego2 <Webseiten ab 80 Euro>

Hanzo2012
Community-Manager
Community-Manager
Beiträge: 1762
Registriert: 26.09.2011, 23:31

Beitrag von Hanzo2012 » 03.12.2019, 21:36

Arnego. Du solltest dich erstmal informieren, wie die Sicherheitslücke aussah und wie sie ausgenutzt wurde, bevor du solche (naiven) Vorschläge machst.

Antworten
  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag