Uh–Android-Sicherheit: The bad and the ugly …

Ich habe momentan ja echt keine Zeit, daher auch nur ein langer Artikel rund um das Thema Android-Sicherheit – war ja lange nicht mehr dran. Gibt neue Erkenntnisse, wie fix Hersteller ihre Android-Distributionen aktualisieren und woran es hakt. Ach ja, und populärsten Android-Apps reißen ein fettes Sicherheitsloch für Man in the middle (MITM) Angriffe.


Anzeige

Android-Updates: Wie läuft's bei den Herstellern?

So langsam geht's hier bei mir etwas durcheinander. Hatte Google nun vor drei, vier oder erst dieses Jahr verkündet, dass man Android viel schneller durch die Hersteller updaten will? Während bei Apple binnen Wochen 80% der Nutzer auf der jeweils neuesten iOS-Version sind, dümpelt der KitKat-Anteil auf Android-Geräten nach 11 Monaten bei mageren 20 % (na ja, gegen den Marktanteil von Windows 8.1 auf dem Desktop ist das noch Gold). Aber warum kriegen die Hersteller es nicht gebacken, schneller Updates rauszuhauen – und wer ist besonders schnell und wer patzt?

Die site arstechnica.com hat hier einen Artikel zum Thema veröffentlicht. Der Artikel enthält auch eine schöne Grafik, wie lange es dauert, bis ein Gerät KitKat 4.4 bekam. Das Nexus war binnen 14 Tagen aktuell, beim Samsung S4 brauchte es 3,7 Monate und das LG G2 hatte eine Vorlaufzeit von 4,6 Monaten. Motorola versorgte die neuen Modelle nach 19 Tagen mit Kitkat. Arstechnica decliniert im dreiteiligen Artikel dediziert durch, warum es bei dem einen oder anderen Hersteller hakelt.

PS: Einen Überblick über die Fragmentierung im Android-Bereich gibt's in diesem Artikel – es gibt 'bloß' 18.795 unterschiedliche Android-Geräte.

Scheibenkleister: Apps als Man-in-the-Middel-Schleuser

Ganz schlechte Nachrichten zum Thema Android-Apps. Die Sicherheitsforscher vom FireEye Mobile Security Team haben sich 1.000 der populärsten und kostenlosen Android Apps im Google Play Store vorgenommen. Man wollte wissen, wie viele Sicherheitslücken und Probleme diese aufreißen. Deprimierendes Ergebnis dieser Analyse: Der größte Teil dieser Apps weist eine SSL/TLS-Sicherheitslücke auf, die sich für man-in-the-middle (MITM) Angriffe ausnutzen lässt.

Konkret: Von den 1.000 getesteten Apps verwendeten 614 (ca. 73%) SSL/TSL zur Kommunikation mit einem Remote-Server. Aber 448 Apps (78 %) prüfen die verwendeten Zertifikate nicht. 50 Apps verwenden einen eigene Hostname-Verifier, der aber die Hostnamen nicht überprüft. Und von 285 Apps, die Webkit zum Rendern einsetzen, ignorieren auftretende SSL-Fehler. Die traurigen Details könnt ihr im FireEye-Blog in diesem Artikel nachlesen.

Die Sicherheitsforscher heben einige Apps hervor. So hat die App Camera360 Ultimate weltweit 250 Millionen Downloads. Hier bei Chip.de segelt das Teil unter "beste App" – und wer sich den Spass macht, einfach mal nach dem App-Namen zu suchen, trifft noch viele Empfehlungsseiten. Wenn ich mehr Android-Apps testen würde, wäre ich auch hereingefallen. Die App kommuniziert heftig mit der Cloud, um die Bilderchen zu uppen. Nett, nur neben der SSL-Sicherheitslücke prüft keiner der in der App verwendeten Trust Manager irgend ein Server-Zertifikat. Bei einem Angriff ließen sich Login-Daten der App, Sicherheitstoken für Accounts bei Facebook, Twitter etc. abgreifen und Fotoalben klauen bzw. eigene Alben unter dem Account anlegen.

Kamikaze ist scheinbar nichts dagegen, was momentan bei Android-Apps abgeht. Wollt schon gerade mein Android-Handy in den Rhein schmeißen. Hab's dann doch nicht getan, sonst hätten die mich womöglich wegen Umweltverschmutzung oder illegaler Müllentsorgung an den Hammelbeinen gekriegt. Und nein, ich bringe dieses Mal nicht den Spruch "wie, ihr wollt demnächst im Internet der Dinge rummachen …". (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit Android, Sicherheit, Update verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.