Android 4.4.4: Kritischste Sicherheitslücke weiterhin offen

Mit dem jüngsten Nacht-und-Nebel-Update Android 4.4.4 wird eine weitere Sicherheitslücke für OpenSSL geschlossen. Der wahre Feind steckt aber hinter Towelroot.

© https://www.flickr.com/photos/tiagoafpereira/

OpenSSL dürfte vielen von Euch noch im Zusammenhang mit dem Heartbleed-Bug in Erinnerung sein. Während dieser vor allem auf Serverseite zu patchen, und für den Otto-Normal-User nur wenig zu machen war, liegen andere Lücken in OpenSSL sowohl auf Server- als auch auf User-Seite.

Darunter befindet sich die mit Android 4.4.4 behobene Möglichkeit einer ChangeCipherSpec(CCS)-Injection nach CVE-2014-0224. Dank ihr können Hacker verschlüsselte Daten eines Servers oder Clients, der eine alte OpenSSL-Version nutzt, entschlüsseln, und die Identität einer der Seiten stehlen oder einfach eine Verbindung abhören.

Towelroot/futex bleibt unberührt

Der kürzlich vorgestellte Root-Hack Towelroot, der etliche Android-Geräte ohne einen PC mit Root-Rechten ausstattet, nutzt eine Sicherheitslücke, die nach wie vor nicht mit Android 4.4.4 gepatcht wird. Hier kommt CVE-2014-3153 (Linux kernel futex local privilege escalation) zum Einsatz. Dabei handelt es sich um einen Fehler im Android zugrunde liegenden Linux-Kern, der an sich komplett offline arbeitet. Openwall-Mailinglist-Mitglied Rich Felker bezeichnet ihn als “wahrscheinlich größten Sicherheitsmangel in Linux in den vergangenen fünf Jahren (wenn nicht seit Anbeginn)”, da mit ihm auch aus abgeschlossenen Systemen heraus der Betriebssystem-Kern kompromittiert werden kann.

Dies geschieht laut der National Vulnerability Database über die Kernel-Funktion futex_requeue und ist möglich, da sie in Kernel-Versionen bis 3.14.5 nicht überprüft, dass Aufrufe zwei unterschiedliche futex-Adressen haben. Gezinkte FUTEX_REQUEUE-Kommandos können wahlweise zum Rechte-Aufstieg (wie beim Towelroot), oder zum Lahmlegen des Systems genutzt werden.

Für Android allgemein bedeutet dies, dass Apps mit Towelroot-ähnlichen Komponenten ausgestattet werden könnten, um nach ihrer Installation temporär Superuser-Privilegien zu erhalten und Komponenten in Euer System einschleusen könnten, deren exakte Funktionalität für Euch verborgen bleiben. Diese Komponenten würdet Ihr überdies mangels Root-Rechten ohne Weiteres nicht entfernen können.

Es bleibt zu hoffen, dass Google den Play Store regelmäßig durchkämmt und ähnlich wie ein Virenscanner die Verhaltensmuster der dort verbreiteten Software entlang der jüngsten Sicherheitsbekanntmachungen der CVE und der NVD abscannt, denn anstonsten würde das Vertrauen in das von Google geschaffene Ökosystem schnell leiden.

via androidpit.de

Neues Nexus 7 hat anscheinend GPS-Probleme

Verschiedene Nutzer des neuen neuen Google Nexus 7 berichten über Probleme mit der GPS-Einheit ihres neuen Tablets.

Mehrere Nutzer des neuen Nexus 7 Tabelts berichten über Probleme mit dem GPS Modul. Foto: Google.

Ein nicht näher genannter Nutzer hat dem Technologie- und Smartphone-Blog PhoneArenaInformationen zukommen lassen, dass sich das neue Nexus 7 zwar problemlos mit GPS-Satelliten verbinden lässt, aber das GPS-Signal regelmäßig nach 10 bis 30 Minuten verliert. Andere Nutzer haben ähnliche Erfahrungen mit der GPS-Einheit gemacht. Bei Manchen Geräten verliert das Tablet schon nach zwei Minuten das GPS-Signal. Das Tablet versetzt sich in den Suchmodus und das GPS-Symbol blinkt. Einige Nutzer konnten das Problem durch einen Reboot des Tablets beheben, andere Nutzer berichten, dass nicht einmal ein Reboot geholfen hat.

Einige Nutzer haben bereits von Google eine Rückmeldung bekommen, dass der Suchmaschinenriese bereits an einer Lösung für das Problem arbeitet. Das entsprechende Update soll bald ausgerollt werden.

Unser Redaktionstablet läuft einwandfrei, wir haben keinerlei Probleme mit dem GPS-Modul. Wie sieht es bei euch aus? Hab ihr ebenfalls Probleme mit dem GPS-Signal eures neuen Nexus 7? Teilt uns eure Erfahrungen in den Kommentaren mit.

via androidmag.de