Android 4.4.4: Kritischste Sicherheitslücke weiterhin offen

Mit dem jüngsten Nacht-und-Nebel-Update Android 4.4.4 wird eine weitere Sicherheitslücke für OpenSSL geschlossen. Der wahre Feind steckt aber hinter Towelroot.

© https://www.flickr.com/photos/tiagoafpereira/

OpenSSL dürfte vielen von Euch noch im Zusammenhang mit dem Heartbleed-Bug in Erinnerung sein. Während dieser vor allem auf Serverseite zu patchen, und für den Otto-Normal-User nur wenig zu machen war, liegen andere Lücken in OpenSSL sowohl auf Server- als auch auf User-Seite.

Darunter befindet sich die mit Android 4.4.4 behobene Möglichkeit einer ChangeCipherSpec(CCS)-Injection nach CVE-2014-0224. Dank ihr können Hacker verschlüsselte Daten eines Servers oder Clients, der eine alte OpenSSL-Version nutzt, entschlüsseln, und die Identität einer der Seiten stehlen oder einfach eine Verbindung abhören.

Towelroot/futex bleibt unberührt

Der kürzlich vorgestellte Root-Hack Towelroot, der etliche Android-Geräte ohne einen PC mit Root-Rechten ausstattet, nutzt eine Sicherheitslücke, die nach wie vor nicht mit Android 4.4.4 gepatcht wird. Hier kommt CVE-2014-3153 (Linux kernel futex local privilege escalation) zum Einsatz. Dabei handelt es sich um einen Fehler im Android zugrunde liegenden Linux-Kern, der an sich komplett offline arbeitet. Openwall-Mailinglist-Mitglied Rich Felker bezeichnet ihn als “wahrscheinlich größten Sicherheitsmangel in Linux in den vergangenen fünf Jahren (wenn nicht seit Anbeginn)”, da mit ihm auch aus abgeschlossenen Systemen heraus der Betriebssystem-Kern kompromittiert werden kann.

Dies geschieht laut der National Vulnerability Database über die Kernel-Funktion futex_requeue und ist möglich, da sie in Kernel-Versionen bis 3.14.5 nicht überprüft, dass Aufrufe zwei unterschiedliche futex-Adressen haben. Gezinkte FUTEX_REQUEUE-Kommandos können wahlweise zum Rechte-Aufstieg (wie beim Towelroot), oder zum Lahmlegen des Systems genutzt werden.

Für Android allgemein bedeutet dies, dass Apps mit Towelroot-ähnlichen Komponenten ausgestattet werden könnten, um nach ihrer Installation temporär Superuser-Privilegien zu erhalten und Komponenten in Euer System einschleusen könnten, deren exakte Funktionalität für Euch verborgen bleiben. Diese Komponenten würdet Ihr überdies mangels Root-Rechten ohne Weiteres nicht entfernen können.

Es bleibt zu hoffen, dass Google den Play Store regelmäßig durchkämmt und ähnlich wie ein Virenscanner die Verhaltensmuster der dort verbreiteten Software entlang der jüngsten Sicherheitsbekanntmachungen der CVE und der NVD abscannt, denn anstonsten würde das Vertrauen in das von Google geschaffene Ökosystem schnell leiden.

via androidpit.de

Nexus 5: Das neue Google-Smartphone in Einzelteilen

Wie das Nexus 5 von außen ausschaut, wissen wir dank diverser Leaks schon zur Genüge. Bevor wir heute Abend dann vermutlich das neue Smartphone von Google und LG ganz offiziell vorgestellt bekommen, können wir dank eines weiteren Leaks jetzt schon einen Blick auf das Innenleben des Geräts werfen.

Nach schier endlosem Warten, einer unüberschaubaren Anzahl an Leaks (Zusammenfassung) und fast ebenso vielen Anspielungen von KitKat- undGoogle-Mitarbeitern auf den sozialen Netzwerken müssen über das kommende Google-Flaggschiff Nexus 5 keine Worte mehr verloren werden – es fühlt sich beinahe so an, als hätten wir das Gerät schon selbst in unseren vor Aufregung ganz schwitzigen Händen gehalten.

Ein neuerlicher Leak der Seite FanaticFone lässt uns nun aber erstmalig einen detaillierten Blick auf das Innenleben des Smartphones werfen und zeigt uns neben dem wohlbekannten Display mit einer Diagonale von 4,95 Zoll auch das Kamera-Modul sowie den ebenfalls bekannten Akku mit 2.300 mAh Kapazität. Dieser scheint – obwohl offiziell nicht wechselbar – wenigstens leicht zugänglich und nicht von anderen Komponenten überlagert zu sein. Im Notfall könnte so mit relativ geringem Aufwand für Ersatz gesorgt werden.

Außerdem zu sehen ist das Gehäuse mit Aussparungen für den Power-Button sowie der Schlitten, mit dem die SIM-Karte in das Gerät befördert wird. Erstmals erkennen wir darüber hinaus Details der Stereo-Lautsprecher an der Unterseite sowie der ungewöhnlichen, runden Höreröffnung. An der Oberseite des Gerätes ist die Kopfhörerbuchse zu erkennen, von Haupt- und Co-Prozessoren fehlt aber jede Spur.

Da wir nun eigentlich alles über das Nexus 5 wissen, bleibt nur noch, bis zum heutigen Abend zu warten und zu hoffen, dass das Gerät nach seiner Vorstellung direkt bestellbar sein wird. Alles Wissenswerte zur Vorstellung des Nexus 5, von Android 4.4 KitKat sowie eventuell weiterer Geräte findet ihr im Laufe des Nachmittags und Abends bei uns.

       

Quelle: FanaticFone [via PhoneArena]