Montag 13.Mai 2024 | 06:08 Uhr

| online: 112 Gäste 

  Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting]  Dienstag, 18 August 2015 | Blog: 4 | No: 33346    

Hier kommt noch eine Mail rein, die einen sehr interessanten Punkt bringt:

Und jetzt gibt es noch eine Lücke im Mediaserver

Ich finde das übrigens gerade sehr instruktiv, wie Google bei dieser Stagefright-Lücke verkackt. Wer sich ein bisschen mit der Sicherheitsarchitektur von Android beschäftigt hat, der weiß, dass die da bis zum Anschlag Sandboxing und Least Privilege fahren, aber es ist einfach mal egal, weil die einzelnen Sandboxen immer noch genug Zugriffsrechte haben, um in diesem Fall Microfon und Kamera anzuschalten. Und jetzt gibt es noch eine Lücke im Mediaserver, mit den selben Auswirkungen.
Sandboxing ist halt schön und gut, aber es reicht nicht. Sicherheitslücken kriegt man nicht weg, indem man Mitigations drum herum baut. Sicherheitslücken kriegt man weg, indem man sie einzeln manuell schließt. Das ist mit Aufwand verbunden. Den muss man dann halt treiben.

Update: Hier kommt noch eine Mail rein, die einen sehr interessanten Punkt bringt:

Bzgl. der Stagefright und anderen aktuellen bösartigen Lücken von Android find ich es übrigens am interessantesten, wie sich die Hilflosigkeit der Benutzer bemerkbar machen wird.

Es ist halt dumm, wenn man die Benutzer von ihren eigenen Geräten aussperrt und diese dann völlig hilflos bei solchen Bugs da stehen. Ohne jegliche Möglichkeit da selbst irgendwas upzudaten, geschweige denn irgendeine Möglichkeit das System auf diesen Geräten selbst irgendwie sicherer machen zu können (z.B. durch Abschalten von Diensten, Firewall o.ä).

Da hilft auch kein Experte im Bekanntenkreis, sofern diese überhaupt bereit wären sich an solchen Wegwerf-Systemen die Hände schmutzig zu machen.

Twiter-Ticker