Follow

Du nutzt Android 8.x oder 9.x, hast Bluetooth ständig aktiv (bspw. wegen Corona-Warning-App) und hast ein Sicherheitspatchlevel von vor Februar 2020?

Dann lies das bitte: kuketz-blog.de/bluefrag-risiko

@kuketzblog
Das ist gut zu wissen. Alle die LineageOS nutzen oder ihre Androids rooten sollten aber größere Sicherheitssorgen haben.

@kuketzblog wieso Quatsch? LineageOs lügen bewim angegebenen Patchlevel und bieten oft nicht die erforderlichen Firmwareupdates. Somit lebt man dann schnell mit öffentlich bekannten Sicherheitslücken.
Und wer root auf Nutzerebene ermöglicht sollte schon sehr genau wissen was er da tut.

@fll @kuketzblog Hast du jemals windows, macosx oder Linux benutzt? All das Zeugs gibt dem admin root, inklusive dem user der halt automatisch admin ist da er der einzige Nutzer der Kiste ist

@reto @kuketzblog Ja klar habe ich das. Auch auf Desktopsystemen ist das schlecht. Software hat es da halt deutlich einfacher ALLES zu dürfen. Android und iOS sind da out-of-the-box viel sicherer.
Ich halte es für deutlich sicherer mir als "dummem User" gar nicht erst die Möglichkeit zu bieten, dass ich aus Versehen irgendjemandem/-etwas Tür und Tor öffne.
Privatsphäre steht natürlich auf einem anderen Blatt. Ich rede hier nur von Sicherheit.

@kirschwipfel @kuketzblog
Meinst du Lineage? Guck dir die ganzen EOL Geräte an. Die können nach Android-Konvention gar nicht auf dem letzten Patchlevel sein, da eben auch Firmwareupdates für SoC etc enthalten sein müssen: source.android.com/security/bu

Grundlegend sind natürlich die Hersteller das Problem, weil sie keine erschwinglichen Geräte mit annehmbarem Supportzeitraum anbieten.
Lineage wiegt Leute aber in falscher Sicherheit.

@fll Verstehe, was Du meinst. Ja, hier wäre mehr Transparenz angebracht.

@fll @kirschwipfel @kuketzblog

Sehe ich anders, habe hier ein S4 mini mit Lineage 17.1, Hersteller Patchdatum ist 2016, steht so da. Also ich finde es transparent.

@fll @kuketzblog Mein LineageOS zeigt zwei Daten an: „Stand der Sicherheitsupdates“ und direkt darunter „Hersteller-Sicherheitspatch-Level“. Was soll da gelogen sein?

@ashimokawa @chpietsch@digitalcourage@kuket

Oh, das ist gut. Dann ist das mittlerweile ja wirklich transparenter geworden.

Eindeutiger hätte ich zwar "Firmware-" oder "Hardwarepatchlevel" gefunden, aber meine Vorwürfe kann ich damit auf jeden Fall zurücknehmen.

Danke für die Hinweise!

Interessieren würde mich ja ob es denn auch ein Gerät gibt bei dem Lineage die Firmware aktuell hält.

@kuketzblog Wie groß ist die Wahrscheinlichkeit, dass ein superböser Mensch in der Gegend herum rennt, um dann Daten eines einziges Smartphones zur Zeit anzuzapfen? Ich verstehe den Anreiz für Angreifer nicht. Wenn man nicht gerade ein VIP ist...

Noch dazu, wenn man nicht in einem Ballungsgebiet wie München, Hamburg oder Berlin wohnt. Frage ist ernst gemeint. Was erzähle ich meiner Oma?

@kuketzblog > Wie groß ist die Wahrscheinlichkeit, dass ein superböser Mensch in der Gegend herum rennt, um dann Daten eines einziges Smartphones zur Zeit anzuzapfen? Ich verstehe den Anreiz für Angreifer nicht.

Der Anreiz wird wohl der gleiche wie damals (Mitte oder Ende 2000er) sein, als Handys mit Bluetooth ganz neu waren: Nacktfotos. Damals gab es Berichte darüber, dass Fremde Leute ansprachen mit der Absicht, dass sie einem ein lustiges Bild zuschicken wollten. Stattdessen kopierten sie Fotos vom Handy auf ihr eigenes. Heute müssen die ihre Opfer noch nicht mal mehr ansprechen sondern können unbemerkt Bilder laden.
@kuketzblog Weiterer Anreiz für Geheimdienste: Einem illegales Material unbemerkt unterschieben und dann die Polizei informieren, sodass man Probleme bekommt.

@moeeee @kuketzblog Erst jetzt durch Zufall deine Antwort gesehen. Geheimdienste scheidet aus, weil wir Otto Normalos auf dem Dorf nicht interessant genug sind. Zumindest nicht bei dezentralen Lücken über Bluetooth. DE-CIX nehmen die natürlich mit.

Nacktbilder ok. Aber auch das ist erst in Ballungsgebieten interessant oder wenn du persönliche Feinde hast, die die Lücke nutzen können. Angreifern, die es auf Kohle abgesehen haben, dürfte Bluetooth auch zu viel Aufwand sein.

@kuketzblog
Android 7.0 hier und letzter Securitypatch war 2018-12
🙂😓

@kuketzblog

Ist es richtig interpretiert, dass das Problem für Android 10 auf aktuellem Patchlevel nicht (mehr?) besteht?

@kuketzblog @leChris

Frage hat sich beantwortet:

"... On Android 10, this vulnerability is not exploitable for technical reasons and only results in a crash of the Bluetooth daemon..."

Quelle: insinuator.net/2020/02/critica

@kuketzblog

Übrigens: Damit die Corona-Warning-App genutzt werden kann ist lediglich ein Update der Google Play Services notwendig und nicht wie von einigen falsch dargestellt ein Update des Android-Systems als solches.


Also alles OK, wenn Google Play Services up-to-date sind?
Und warum wird das jetzt eigentlich an der Corona-App festgemacht? Haben nicht viele Leute Bluetooth sowieso an für Fitness-Tracker, Smart-Watch und Headsets?

@markus @kuketzblog
Aus Erfahrung wage ich sogar zu behaupten, dass Otto Normalverbraucher Bluetooth immer eingeschaltet hat. Genau wie GPS. Der Sicherheitsgedanke überwiegt bei den meisten einfach nicht die Faulheit.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!