Android Patch Day Juli 2017: Das Trauerspiel geht weiter
Angesichts der monatlich erscheinenden Google Updates und dem Mega-Patch vom Juli 2017 muss man sich langsam mal fragen, wie schlampig da eigentlich im Vorfeld programmiert wird. Hallo Qualitätskontrolle? Hallo sicheres Programmieren? Hallo irgendwer?
Es werden allein 18 Remote Code Execution Exploits geschlossen, also Sicherheitslücken, über die Angreifer Schadcode aus der Ferne auf den Geräten ausführen können. Zitat aus dem heise Artikel:
Die wohl kritischste Lücke betrifft WLAN-Chips der Firma Broadcom. Diese können über manipulierte Wifi-Pakete angegriffen werden. Angreifer, die sich in Funkreichweite befinden, können so Schadcode am Betriebssystem vorbei mit Systemrechten auf den Geräten ausführen und diese so kapern. Die Sicherheitsforscher, die diese Lücke entdeckt haben, wollen sie Ende des Monats auf der Sicherheitskonferenz Black Hat in Las Vegas vorstellen. Sie haben den Angriff „Broadpwn“ getauft.
Wer ein WLAN-Chip von der Firma Broadcom in seinem Android-Gerät verbaut hat, der sollte den Juli Patch entweder schnell einspielen oder sich bis auf weiteres nicht in fremde WLAN-Netze einbuchen. Vermutlich werden sich die meisten mit Variante zwei behelfen müssen, da ihr Gerätehersteller keine Updates herausbringt. Ist das ein Trauerspiel…
Das bestätigt wieder meine Meinung, dass Smartphones per se eigentlich unsicher sind und besser keine sensiblen Daten verarbeiten sollten. Privater GnuPG / OpenPGP Schlüssel auf dem Gerät? Das könnt ihr vergessen.
Airgeddon: Wie WLANs gehackt werden und wie man sich davor schützt
Die Update-Problematik bei Android – Android unter Kontrolle Teil2
Konfigurationsempfehlungen – Android unter Kontrolle Teil5
WLAN absichern – Die Illusion vom sicheren WLAN
