Schwachstelle aus den 80ern: Android und Safari sind angreifbar

[o1] Knerd am 04.03. 17:55

+23 -5

Den letzten Absatz kurz zusammengefasst:

OS X und iOS sehen ein Update bis Ende März, bei Android kommt es mit deinem neuen Gerät...

[re:1] psyabit am 04.03. 18:29

+4 -12

@Knerd: Soll das etwa einen feinen gegen Google sein?! Google macht alles richtig, die Hersteller sind das Problem ;) Schliesslich coden Sie ja nur Android. Die Verantwortung liegt logischerweise nicht bei Google! /ironie off

[re:1] Arnitun am 08.03. 18:37

+1 -

@psyabit: ähm, also hättest du das /ironie off weggelassen, könnte ich dir zustimmen

[re:2] Harald.L am 04.03. 18:44

+2 -4

@Knerd: Mein 2 Jahre altes Nexus 4 (Android 5.0.1) bekommt das Update vermutlich noch vor dem von dir genannten Termin für OS X und iOS

[re:1] BuzzT.Ion am 04.03. 19:20

+2 -3

@Harald.L: Ich als Nexus 4 Besitzer bin mir sicher es schon zu besitzen. Solche Sicherheitsupdates werden oftmals eingespielt ohne, dass du etwas davon mitbekommst. Sobald du Wlan Verbindung hast, ist das Update installiert. Ist ja auch nichts Großes wo sich eine Versionsnr. ändern müsste oder so. Vielleicht wurde es sogar schon mit 5.0.1 erledigt, immerhin bekommen Google und Apple ja gewisse Zeit zugesprochen Fehler zu beheben.

[re:1] iPeople am 04.03. 20:06

+2 -2

@BuzzT.Ion: OTA ohne nachfragen? Echt jetzt? Absolutes NoGo

[re:1] Stamfy am 06.03. 19:25

+ -

@iPeople: Du kannst einstellen ob Du gefragt werden möchtest oder es einfach so passiert. Leider benötigt man afaik root und 3rd party software um das für einzelne Programme zu differenzieren, da könnte Android mal nachbessern.

[re:2] iPeople am 07.03. 16:17

+ -

@Stamfy: Wir reden hier vom OTA fürs betriebssystem und nicht für Apps

[re:2] Balu2004 am 04.03. 23:02

+ -1

@BuzzT.Ion: hast du die url mal getestet die ich unten gepostet habe?

[re:2] GlockMane am 04.03. 23:12

+3 -1

@Harald.L: Trotzdem werden wohl die meisten Android Nutzer kein Update sehen, weil es die Hersteller nicht interessiert.. Und Google interessiert es anscheinend auch nicht.. Bei Windows Phone sieht es schon besser aus, allerdings auch noch ausbaufähig.. Bei iOS gibt es halt nur einen Gerätehersteller, da sieht es in Sachen Updates eher rosig aus.. Insgesamt gibt es in der Richtung noch verdammt viel zutun..

[re:1] Harald.L am 05.03. 15:48

+1 -

@GlockMane: Wer als Android-Nutzer so wichtige Updates nicht bekommt hat ganz einfach ein Gerät vom falschen Hersteller gekauft. Von einem der sich einen Dreck um seine Kunden kümmert. Solange die Leute Samsung & Co. die Geräte abkaufen wie geschnitten Brot wird sich nichts ändern. Warum sollte Samsung Geld investieren um Sicherheitsupdates zu erstellen wenn auch so genug Geld hereingespült wird? Rein kaufmännisch wären sie dann ja blöd wenn sie Updates erstellen würden. Erst wenn die Kunden nicht mehr kaufen ändert sich da was.

[re:1] GlockMane am 05.03. 21:32

+ -

@Harald.L: Viele Leute kaufen halt auch das was Ihnen in der Werbung am auffälligsten präsentiert wird.. Und die bekannten Hersteller nehmen sich da alle nicht viel.. Am besten man packt die Dinge an der Wurzel an und gibt den Herstellern gewisse Regeln vor, wenn sie das OS nutzen wollen.. Das geht von Updategarantien bis hin zur Öffnung in Richtung Community, die Ihren Beitrag dann noch effizienter leisten könnte.. Aber warum ist diese Update bzw. Treibergeschichte überhaupt so kompliziert? Eigentlich dürfte das doch nicht viel anders als am PC laufen, da habe ich ein OS und Treiber und von Windows Vista bis Windows 10 kann ich die selben Treiber verwenden (übertrieben gesagt ;)).. Grundlegende Sachen funktionieren out of the box, man kann mehr oder weniger direkt loslegen.. Ob mit Linux oder Windows.. Und wenn die Treiber Open Source wären, könnten die doch im nu angepasst werden, auch von der Community..

[o2] Balu2004 am 04.03. 22:55

+1 -1

der vollständigkeit halber noch ein link zum prüfen ob man betroffen ist: https://www.ssllabs.com/ssltest/viewMyClient.html

zum thema google wird's sicher wieder heissen die hersteller sind schuld.. ich frage mich warum kann google nicht vertraglich regeln das sicherheitsupdates / updates innerhalb 60-90 tage auch auf die smartphones/tablets ausgerollt werden? immer die verantwortung auf die hersteller schieben zeigt doch das google indirekt zugibt das das design der architektur in der vergangenheit bescheiden war. ob es mit lollipop besser wird muss sich noch zeigen.

Es scheint wohl insbesondere der Safari Browser betroffen zu sein, habe gerade einen alternativen Browser auf meinem iPad getestet welcher ja die gleichen Entchen verwendet, auf diesem war der Test o. k.

[re:1] TiKu am 04.03. 23:52

+1 -1

@Balu2004: Firefox und Chrome sind auf Android 4.3 safe. Der Stock Browser vom Samsung Galaxy S3 ist gegen diese Lücke offenbar ebenfalls safe, zumindest taucht bei den Cipher Suites nichts mit RSA_EXPORT auf.
Offenbar waren Google bzw. Samsung schneller als Apple. ;-)

[re:1] Balu2004 am 05.03. 07:56

+ -1

@TiKu: glaube ich nicht.. auf welchem smartphone? welche android version (stock vom hersteller?) ... bisher ist nur die rede davon das google die patches bereits an die anbieter ausgeliefert hat und insbesondere samsung ist hier in der vergangenheit arg in die kritik gekommen. das wäre für mich fast einem wunder gleichzusetzen wenn samsung hier sogar vor google wäre..

apropos cipher suites .. ruf mal die seite auf die ich gepostet habe und schick einen screenshot von google chrome browser + einen von samsungs browser.

[re:1] TiKu am 05.03. 08:30

+1 -1

@Balu2004: Samsung Galaxy S3 (GT-I9300) mit Android 4.3 (Original-ROM von Samsung). Da dieser Tage kein Update kam, gehe ich davon aus, dass Samsung die anfälligen Verschlüsselungen von vornherein entfernt hat. Anpassungen durch die Hersteller haben eben auch Vorteile.
http://www.timosoft-software.de/stuff/Chrome.png
http://www.timosoft-software.de/stuff/Stock.png
Da sind als Weak gekennzeichnete Algorithmen drin, aber von RSA_EXPORT ist nichts zu sehen. Wie würde die Liste denn aussehen, wenn der Browser anfällig wäre?

[re:1] Balu2004 am 05.03. 08:40

+ -1

@TiKu: danke für die screenshots. . zeig mal was oben steht .. nicht nur was unter ciper suites steht :)

zeig mal was unter protokoll support steht und poodle vulnerability .

bei meinem google chrome habe ich auch 4x weak unter windows 7.

[re:2] TiKu am 05.03. 08:53

+1 -1

@Balu2004: Was willst du jetzt mit POODLE? Hier gehts um FREAK.

[re:3] Balu2004 am 05.03. 09:02

+ -1

@TiKu: stimmt übersehen .. da steht bei mir auch vulerable und man soll ssl3 disablen (auf meinem iphone 6+)

unter cipher steht bei mir allerdings auch kein eintrag mit RSA_EXPORT (ios 8.1.3)

dann ist das wohl nich nicht drin so wie ich das verstanden habe.

[re:4] TiKu am 05.03. 11:31

+1 -

@Balu2004: freakattack.com scheint eine bessere Testseite zu sein. Sie meldet Chrome und den Stockbrowser als verwundbar, Firefox als sicher.

[re:5] Balu2004 am 05.03. 11:42

+ -1

@TiKu: stimmt scheint besser zu sein. ios 8.1.3 (iphone 6+): icab verwundbar. google chrome sicher.

na mal abwarten wann die updates reinkommen.

[re:2] Overflow am 05.03. 11:15

+ -1

@TiKu: Der Trick bei FREAK ist doch, das man den Browser dazu bringen kann, RSA_EXPORT zu akzeptieren, obwohl er es gar nicht anbietet ;)

[re:1] TiKu am 05.03. 11:22

+1 -

@Overflow: Dann schreibt heise aber irgendwie Mist. Lt. heise kann man mit der von Balu2004 geposteten Webseite prüfen, ob der Browser anfällig für FREAK ist. Er ist lt. heise dann anfällig, wenn bei den Cipher Suites RSA_EXPORT dabei steht.

[re:1] Overflow am 05.03. 11:33

+ -1

@TiKu:
https://freakattack.com/

[re:2] The_Xar am 07.03. 13:40

+ -

@TiKu: So einfach ist das leider nicht - dann wäre FREAK ja irrelevant. Schau dir den IE11 an. Nichts mit EXPORT, dennoch anfällig (auch von MS bestätigt).

[re:2] Overflow am 05.03. 00:58

+1 -1

@Balu2004: Naja, selbst bei Windows Phone müssen Hersteller und Provider die Updates freigeben, da wird auch Google kaum Chancen haben, das zu ändern. Im Endeffekt konnte bisher nur Apple erreichen, die volle Kontrolle über die Software zu haben...

[re:1] Vietz am 05.03. 09:04

+2 -

@Overflow: Laut MS dürfen die kritische Sicherheitslücken so patchen ohne Rücksprache.
Bis jetzt kam es noch nicht vor, da noch keine kritische Lücke gefunden wurde.
Wäre interessant ob MS das wirklich macht.

[re:1] Unglaublich am 05.03. 13:00

+2 -

@Vietz: Mir fällt als Beispiel das Touchscreen-Patch für das Lumia 535 ein, das wurde ohne Probleme sofort verteilt, unabhängig vom Branding / Provider!

[re:1] Vietz am 05.03. 13:22

+2 -

@Unglaublich: Ok. Danke für die Info.

[re:3] Stamfy am 06.03. 19:28

+ -

@Balu2004: Ich find das Ergebnis mit Presto drollig: "hey, Dein browser unterstützt nicht das neueste security-snakeoil... aber per "poodle" angreifbar bist Du nicht..." Zyniker könnten vermuten dass man besser damit fährt nicht die neueste backdoor als Sicherheitsfeature zu verwenden.