Ergebnis 1 bis 11 von 11
  1. #1
    Gesperrt
    Registriert seit
    Oct 2012
    Beiträge
    44
    Danksagungen
    0

    Standard Passwort-Sicherheitslücke beim Samsung Galaxy S III

    Beim derzeit beliebtesten Smartphone auf dem Markt gibt es eine Sicherheitslücke. Anscheinend speichert eine wichtige App des Galaxy S III Passwörter im Klartext. Damit könnte jeder, der Zugang zu dem Telefon hat und weiß wo die entsprechende Datei liegt, diese problemlos einsehen, die Passwörter kopieren und missbräuchlich einsetzen.

    zur News

  2. #2
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Passwort-Sicherheitslücke beim Samsung Galaxy S III

    Ganz so schlimm ist das nicht, wie es erklärt wird.

    Also erstmal. Android sperrt jede App in eine Sandbox. Eine Anwendung kann zwar bestimmte Rechte erhalten und damit auf Kamera, Internet oder Kontakte zugreifen, dies wird aber beim Installieren angezeigt und muss vor der Installation vom Benutzer abgenickt werden. Diese Rechte sind in der Manifestdatei angegeben und können auch nicht umgangen werden.

    Jede Anwendung kann Daten in einem "data" Ordner auf dem internen Flashspeicher ablegen. Andere Anwendungen haben darauf unter keinen Umständen Zugriff. (Es gibt eine Sonderregelung, ähnlich des "friends" Schlüsselwortes in C++)

    Das s.g. Rooten installiert eine Systemanwendung, die sich in den Kernel hängt.

    Da jede Anwendung natürlich auch ein Terminal benutzen darf (ist ja ein Unix), können auch klassische Unixbefehle benutzt werden. Selbstverständlich haben wir auch hier die Sandbox aktiv.

    Durch den Root kommt der Befehl "su" dazu, den jeder sicherlich kennt. Ruft eine Anwendung über ein Terminla "su" auf, wird die Root-Systemanwendung informiert und der Benutzer wird gefragt, ob er der Anwendung Superuserrechte geben möchte.

    Wird dieser Anfrage stattgegeben, so hat die anfragende Anwendung nun eine Rootshell und kann damit natürlich auf alle Dateien zugreifen und umgeht natürlich auch die Sandbox. Also alles nur halb so schlimm. Abgesehen davon, kann eine Anwendung, die eh Rootrechte hat auch den Arbeitsspeicher auslesen.

    Was hat nun Samsung hier gemacht? Nun, die Samsung App speichert die Passwörter vermutlich einfach in einer SQLite DB innerhalb ihres "data"-Ordners. Wie schon gesagt, ist dieser Bereich erstmal sicher vor anderen Anwendungen. Natürlich gehört sich das trozdem nicht unverschlüsselt, aber andererseits scheint der Benutzer ja eh kein Passwort zum entschlüsseln eingeben zu müssen, also wie sollten die Daten dann überhaupt verschlüsselt werden.

    Eine Anwendung mit Rootkonsole kann natürlich diese Datei einfach auslesen und hat somit die Passwörter. Außerdem ist es üblich, dass die Apps der Systembuilder meist eh totale Kacke sind. Die Anzahl derer, die also diese App verwenden und ihr Telefon gerootet haben UND einer App Rootrechte geben, die dann auch noch das Passwort klauen muss, halte ich für sehr gering.

    Aber natürlich dennoch berichtenswert. Nur halt nicht so spektalulär.

  3. #3
    Mitglied
    Registriert seit
    Jan 2008
    Beiträge
    194
    Danksagungen
    1

    Standard Re: Passwort-Sicherheitslücke beim Samsung Galaxy S III

    Leider hat Google auch für solche Fälle nicht daran gedacht, dass darin gespeicherte Passwort zu verschlüsseln.
    Was kann Google dafür, wenn Samsung die Passwörter im Klartext speichert?
    Oder versteh ich da was falsch? Kenne die App nicht.

  4. #4
    Mitglied Avatar von Xerebus
    Registriert seit
    Jan 2006
    Beiträge
    2.289
    Danksagungen
    11

    Standard Re: Passwort-Sicherheitslücke beim Samsung Galaxy S III

    Android=Google

  5. #5
    Mitglied
    Registriert seit
    Feb 2011
    Beiträge
    153
    Danksagungen
    2

    Standard Re: Passwort-Sicherheitslücke beim Samsung Galaxy S III

    Zitat Zitat von Xerebus Beitrag anzeigen
    Android=Google
    android != s-memo

  6. #6
    Mitglied Avatar von Xerebus
    Registriert seit
    Jan 2006
    Beiträge
    2.289
    Danksagungen
    11

    Standard Re: Passwort-Sicherheitslücke beim Samsung Galaxy S III

    Zitat Zitat von Igel0 Beitrag anzeigen
    android != s-memo
    Überlesen. Dachte da hackts an mehreren stellen.

  7. #7
    Mitglied
    Registriert seit
    Nov 2006
    Beiträge
    31
    NewsPresso
    1 (Talent)
    Danksagungen
    0

    Standard Re: Passwort-Sicherheitslücke beim Samsung Galaxy S III

    Mal so ganz davon ab, dass ich ein SGS3 in 15 Minuten roote - Wobei ich gerade ein mal 5 Minuten benötigt habe, um mir den Vorgang anzuschauen (Inkl. Suchzeit nach diesen Vorgängen) - Ich werd das am WoE mal testen - Da hab ich das SGS3 meines Bruders zum umflashen hier... Das wird mal spannend, da kann ich vorher noch mal etwas "Spielen" :-)

    Wenn ich also auf einem eingeschalteten Gerät root-zugriff erlange, kenne ich seine Passwörter... Ich bin mal gespannt .-)

  8. #8
    Mitglied
    Registriert seit
    Jun 2005
    Beiträge
    821
    NewsPresso
    1 (Talent)
    Danksagungen
    31

    Standard Re: Passwort-Sicherheitslücke beim Samsung Galaxy S III

    Also ein S3 zu rooten ist ja wirklich in keinster Weise mit einem großen softwaretechnischen Aufwand verbunden wie im Artikel geschrieben.

    Dazu braucht man nur ein Kabel, die Treiber fürs Galaxy (hat man aber eh meistens drauf, wenn man KIES drauf hat), ODIN und die Flash-Datei... das ganze dauert eigentlich weniger als 5 Minuten. Was da ein hoher Aufwand sein soll ist mir schleierhaft.

    Nach dem Update meines S3 auf Android 4.1.1 habe ich wieder rooten müssen, das ganze hat weniger als 2 Minuten gedauert.

    Zur News selber: Stümpferhaft! Aber irgendwie wundert mich das bei Samsung nicht...

  9. #9
    Mitglied Avatar von C-H-T
    Registriert seit
    Dec 2007
    Ort
    zuhause
    Beiträge
    1.039
    Danksagungen
    6

    Standard Re: Passwort-Sicherheitslücke beim Samsung Galaxy S III

    Rooten samt Custom Rom dauert keine 5min mit Odin 1 Programm zu nutzen ist auch nicht wirklich hoher softwaretechnicher Aufwand.

    Aber stimmt das viele keinen Bock drauf haben zu flashen weil die den Stock Rom von Samsung gut finden (warum gibt es kein Kotz Smiley?).
    Das liegt aber wohl nur daran das sie es nicht besser wissen. Ich musste es auch erst mit eigenen Augen bei meinem SGSII sehen
    Die Samsung Apps sind und bleiben schlecht.

  10. #10
    Gesperrt
    Registriert seit
    Oct 2008
    Beiträge
    748
    Danksagungen
    9

    Standard Re: Passwort-Sicherheitslücke beim Samsung Galaxy S III

    Mit dem Nexus 4 werden viele wohl neu Käufer eher nicht zum SGIII greifen denn da gibts auf jedem fall länger Updates.

    Da hat Samsung bei mir echt verschissen

    abe rmal was anderes
    Jeder, der zum entsprechenden File Zugang habe, könne dieses dann auch lesen,
    Mal ehrlich wer hat Zugang zu eurem Phone? Im übrigen hatte der Apfel in der Vergangenheit schon ähnliche Bolzen geschossen.

    Sind wieder mal schlecht recherchierte News wie üblich

  11. #11
    Mitglied
    Registriert seit
    Jun 2005
    Beiträge
    821
    NewsPresso
    1 (Talent)
    Danksagungen
    31

    Standard Re: Passwort-Sicherheitslücke beim Samsung Galaxy S III

    Ja korrekt.... beim Galaxy geht's mit den Updates ja noch einigermaßen.
    Aber was die sich mit dem Tablet 10.1 geleistet haben ist eine Frechheit.
    Unter diesem Aspekt wird das Nexus wohl klar besser sein!

  12.  
     
     

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •