Skip to content

Söcher

Es ist mal wieder Zeit, einen großen Topf Häme über diversen IT-firmen auszukippen. Fangen wir am besten mal bei google an. Das Android-Loch bei dem Medien-Abspiel-Framework Stagefright hatte ich ja neulich schon gewürdigt. Das ließ sich ja auch von außen ausnutzen, wenn man eine präparierte Mediendatei irgendwie da reinbekam, zum Beispiel, indem man sie per MMS verschickte, oder irgendwo im Netz (hust, Werbenetzwerk) verteilt. Nun ist noch ein Loch im Mediendunstkreis rausgekommen. Um das auszunutzen muss man immerhin schon speziellen Code auf dem Gerät ausführen, aber irgendwas sagt mir, dass sich die beiden Löcher kombinieren lassen könnten. Google, die auf andere firmen mit ihrer 90-Tage-Frist ("Project Zero") Druck ausüben, haben übrigens ihren ersten Patch im Medienframework nicht so unheimlich gut hinbekommen, was auch nichts daran ändert, dass keiner der Fixes jemals alle betroffenen Geräte erreichen wird. Lustiges nebenbei: Der diensthabende Ober-Troll hat dann auch mal anerkannt, dass es da eine Sicherheitsunterschreitung gibt, und das Google nicht gerade souverän wirkt.

Nur nebenbei erwähnt sei dann mal ein Sicherheitsloch im Design von HTC-Händies mit Fingerabdruck-Scanner. Die haben nämlich die Fingerabdrücke unverschlüsselt(!) in einer Datei im System gespeichert, die jeder Prozess auf dem Gerät lesen durfte(!!). Wie gut, dass Open-Source-Systeme immer schnell abgesichert werden. Hat hier jemand Heartbleed gesagt?

Um mal einen Ausgleich zu bringen: Apple hat auch ein Loch, hier in seinem Rechner-OS, inklusive der aktuellsten Version 10.10.5. Damit lässt sich offenbar Root-Recht erlangen, wenn man Code auf dem Gerät ausführen kann. Laut ersten Berichten besteht der Fehler übrigens nicht in den Betaversionen des nächsten Mac-Updates, bei dem Root-Rechte aber ohnehin weniger erlauben, nachdem dort auch ein tiefergehender Systemschutz eingezogen wird. Unklar ist noch, ob Apple sich um das aktuelle System noch so weit kümmern wird, dass es da ein Update rausbringt, mit dem das neue Sicherheitsloch gestopft wird. Ich hoffe es zwar, bin mir aber nicht so sicher, dass sie das auch so sehen.

Und dann war da noch eine klitzewinzige Sicherheitsschwankung bei einem unwesentlichen Dienstleister für elektronische Postleistungen. Da ließen sich mobil genutzte Postfächer wohl kapern, wenn ein präparierter Link geöffnet worden wäre, und noch ein paar Bedingungen zutrafen. Wie gut, dass die gleiche Firma die per Gesetz als hochsicher definierten De-Mail-Dienste hoch-sicher betreibt. Immerhin sind die Rechner, auf denen De-Mail läuft, nicht unerlaubt zu Fuß zu erreichen.

ABCgle

Zur Abwechselung mal eine Meldung, die eher in eine Wirtschafts-Berichterstattung gehört: In der Nacht zu Dienstag hat der Werbevermarkter mit angebundener Suchdienstleisung und einigen sonstigen Diensten verkündet, sich umzustrukturieren. Google spaltet eine Holding ab, die den Namen Alphabet bekommt, und verstaut in der Holding alle Teile dessen, was bisher Google war. Dadurch sind jetzt formal die Werbefirma und so Projekte wie die autonomen Autos in verschiedenen Firmen unter dem Alphabetsmantel. Inwiefern das eine reale Änderung bedeutet, kann ich jedenfalls nicht erkennen. Das Werbemotto von "Don't be evil" hat jedenfalls schon länger keine erkennbaren Auswirkungen gehabt.

Bühnenangst

Eine Meldung aus der Technik-Ecke, die im letzten Podcast fast den Titel bekommen hätte, schlägt weiter Wellen: Und zwar gibt es auf ziemlich vielen Android-Geräten Sicherheitslöcher in der Medien-Abspiel-Infrastruktur, die den Namen Stagefright trägt. Die Sicherheitslöcher sind bisher nicht komplett öffentlich, lediglich eine Ankündigung eines vortrags und angebliche Konzept-Beweise (Neudeutsch: Proof of concept)sind bisher öffentlich. bekannt sind damit, dass bummelig 95% aller real existierenden Android-Geräte betroffen wären, der Fehler auf Android von 2.2 bis einschließlich 5.1 auftreten würde, und sich durch so komplizierte funktionen auslösen ließe, wie den Empfang (nicht erst Anzeige!) einer MMS oder von bestimmten Mediendateien im Netz auslösen ließe. Nun sind 95% aller Android-Geräte eine ziemlich große Anzahl von Geräten. Bei der Mehrheit davon ist es auch extrem unwahrscheinlich, dass es ein eventuelles neues Android 5.x mit Fix jemals auf das Gerät schaffen würde. Wenn das dort überhaupt noch lauffähig wäre. Oder anders ausgedrückt: So ziemlich alle Android-Geräte, die ihre Software-Updates nicht direkt von Google erhalten, sind und bleiben deutlich unsicher. Das ging so weit, dass erste lautstarke sicherheitsverfechter, die bis dahin über Apple nur die Nase gerümpft haben, lautstark ihre privaten Smartphones in iPhones gewechselt haben. (spannendes Nebenbei: Der lautstarke Apple-Hasser Trollfe hat bis heute weder den Bug, noch irgendwas in dem Umfeld vermeldet. Das liegt bestimmt daran, dass Apple ja so total blöd ist.)

Jetzt hat mit der T-elekom der erste Mobilnetzbetreiber sich zu Wort gemeldet, und verkündet, vorerst (und ich betone: Vorerst) MMS nicht aktiv auszuliefern. Stattdessen schickt die Firma eine SMS, in der dann ein Link stehen würde, über den der Inhalt der Multimedia-Botschaft abgerufen werden könnte. Da stellen sich mir ja mal ein paar Fragen: Wie lange soll so ein netzweiter MMS-Block gelten? Laut Allwissender Müllhalde ist Android 2.2 seit 2011 nicht mehr die neueste Version, man kann also grob hochrechnen, dass in diesem Jahrzehnt Android 5.1 dann eher noch nicht ausstirbt. Überhaupt, was macht T-elekom, wenn bekannt wird, dass das Sicherheitsloch auch über Webseiten ausgenutzt werden kann? Sperren die die dann auch? Auch für Nutzer, die noch nie ein Android-Gerät genutzt haben (hüstel. iPhone hat das Sicherheitsloch nicht. iPhone hat andere Sicherheitslöcher.) Überhaupt wäre es nett, wenn es wenigstens eine Möglichkeit gäbe, den MMS-Versand wieder freizuschalten, wenn der schon automagisch abgestellt wurde.

Oh, und übrigens: Wie war das noch mit Sicherheitslöchern in Open-Source? Ich dachte, die gäbe es nicht lange? Heartbleed, die diversen weiteren SSL-Löcher und jetzt Stagefright reichen mir als Indizien jedenfalls für eine gegenteilige Vermutung aus.