1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Spamsoldier: SMS-Attacke auf Android…

Zumindest ist die SMS selbst nicht der Virus

Anzeige
  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Zumindest ist die SMS selbst nicht der Virus

    Autor M.P. 19.12.12 - 09:51

    Ansonsten sind einige Details schon bedenklich für Android und sollten verbessert werden:

    - SMS Versand ohne Protokoll (könnte aber ein "Feature" sein, das unsere "Sicherheits"-Behörden verlangen)
    - Programm ohne Icon


    Wenn das alles ohne Ausnutzung von Sicherheitslücken, sondern mit "normalen" API-Funktionen möglich ist, hat sich Android diskreditiert.

    Wichtige Fragen bleiben auch unbeantwortet.
    - Wie hat das Programm das Recht bekommen SMS zu versenden?
    - Wie hat das Programm das Recht bekommen auf einen Server im Internet zuzugreifen?

    Normalerweise muss man doch bei Installation sowas bestätigen...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor spYro 19.12.12 - 10:00

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Ansonsten sind einige Details schon bedenklich für Android und sollten
    > verbessert werden:
    >
    > - SMS Versand ohne Protokoll (könnte aber ein "Feature" sein, das unsere
    > "Sicherheits"-Behörden verlangen)
    > - Programm ohne Icon
    >

    Der SMS-Versand wird natürlich protokolliert. Aber was nützt das, wenn die Software das Protokoll ändern kann?
    Und Programme ohne Icon gibt es duzende. So ziemlich jedes Systemprogramm hat kein Icon u.v.m.. Das ist Absicht, da sonst bei einem frisch installierten Android direkt hunderte Programmicons im Launcher auftauchen würden.

    >
    > Wenn das alles ohne Ausnutzung von Sicherheitslücken, sondern mit
    > "normalen" API-Funktionen möglich ist, hat sich Android diskreditiert.
    >
    > Wichtige Fragen bleiben auch unbeantwortet.
    > - Wie hat das Programm das Recht bekommen SMS zu versenden?
    > - Wie hat das Programm das Recht bekommen auf einen Server im Internet
    > zuzugreifen?
    >
    > Normalerweise muss man doch bei Installation sowas bestätigen...

    Da ist einzig und allein der User schuld.
    Wenn ich eine App installiere, dann bekomme ich IMMER vorher angezeigt, welche Rechte die App haben muss/wird. Nur lesen sich das die meisten nicht durch, da sie das in Kauf nehmen und "was soll an einem kostenlosen Game schon schlimmes dran sein".

    Fazit:
    Android trifft hier keine Schuld.
    Wer zu Hause eine Mail öffnet mit einer "heisse fotos.jpg.exe" im Anhang, diese Ausführt und dem Antivirenprogramm sagt, dass die Datei ok ist, weil sie ja von "service@trustme.uk" kommt, dann trifft es ebenso den User.

    Wer auf eine Wildfremde SMS so naiv reagiert, der muss eben mit sowas rechnen.

    LG spYro

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor M.P. 19.12.12 - 10:08

    spYro schrieb:
    > Aber was nützt das, wenn die
    > Software das Protokoll ändern kann?

    Wenn das jede Software ohne OK des Nutzers bei der Installation machen darf ist das definitiv eine Sicherheitslücke...

    > Und Programme ohne Icon gibt es duzende. So ziemlich jedes Systemprogramm
    > hat kein Icon u.v.m.. Das ist Absicht, da sonst bei einem frisch
    > installierten Android direkt hunderte Programmicons im Launcher auftauchen
    > würden.
    >

    Das Löschen des Icons sollte auch erst nach Bestätigung des Nutzers erfolgen können...



    > >
    > > Wenn das alles ohne Ausnutzung von Sicherheitslücken, sondern mit
    > > "normalen" API-Funktionen möglich ist, hat sich Android diskreditiert.
    > >
    > > Wichtige Fragen bleiben auch unbeantwortet.
    > > - Wie hat das Programm das Recht bekommen SMS zu versenden?
    > > - Wie hat das Programm das Recht bekommen auf einen Server im Internet
    > > zuzugreifen?
    > >
    > > Normalerweise muss man doch bei Installation sowas bestätigen...
    >
    > Da ist einzig und allein der User schuld.
    > Wenn ich eine App installiere, dann bekomme ich IMMER vorher angezeigt,
    > welche Rechte die App haben muss/wird. Nur lesen sich das die meisten nicht
    > durch, da sie das in Kauf nehmen und "was soll an einem kostenlosen Game
    > schon schlimmes dran sein".
    >

    Ob das Programm das nicht irgendwie umgeht, geht aus dem Artikel nicht hervor...

    > Fazit:
    > Android trifft hier keine Schuld.

    Teilweise schon - s. O.

    > Wer zu Hause eine Mail öffnet mit einer "heisse fotos.jpg.exe" im Anhang,
    > diese Ausführt und dem Antivirenprogramm sagt, dass die Datei ok ist, weil
    > sie ja von "service@trustme.uk" kommt, dann trifft es ebenso den User.
    >
    > Wer auf eine Wildfremde SMS so naiv reagiert, der muss eben mit sowas
    > rechnen.

    Das stimmt,,,

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor tomate.salat.inc 19.12.12 - 10:12

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Wenn das jede Software ohne OK des Nutzers bei der Installation machen darf
    > ist das definitiv eine Sicherheitslücke...
    Der Nutzer gibt sein Ok. Dafür muss er sich eben mal kurz die Rechteanforderungen anschauen.

    > Das Löschen des Icons sollte auch erst nach Bestätigung des Nutzers
    > erfolgen können...
    Es findet kein Löschen statt, das beschreibt Golem hier schlicht falsch. In der Manifest der App wird einfach kein eigenes Icon für die Schadsoftware definiert. Somit wurde auch nie ein Icon erstellt.

    > Ob das Programm das nicht irgendwie umgeht, geht aus dem Artikel nicht
    > hervor...
    Ich würde mal behaupten: das kann es nicht. Die App wird erst nach der Bestätigung der Rechte installiert. Vorher kann/dürfte die App keinen Code ausführen.

    > Teilweise schon - s. O.
    nope.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor UP87 19.12.12 - 10:15

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > > Und Programme ohne Icon gibt es duzende. So ziemlich jedes
    > Systemprogramm
    > > hat kein Icon u.v.m.. Das ist Absicht, da sonst bei einem frisch
    > > installierten Android direkt hunderte Programmicons im Launcher
    > auftauchen
    > > würden.
    > >
    >
    > Das Löschen des Icons sollte auch erst nach Bestätigung des Nutzers
    > erfolgen können...

    Nein, denn es ist absolut sinnvoll eine Anwendung ohne Icon zu schreiben. Android unterstützt im Gegensatz zu iOS Widgets und Dienste. Für eine reine Widget-Anwendung braucht man absolut kein Icon.
    Wenn man sich die installierten Apps anguckt, taucht die Anwendung natürlich trotzdem auf.

    Zum SMS verbergen: Das ist auch kein direktes Sicherheitsproblem. Es ist ja kein Protokoll, das abgeändert wird, sondern einfach die Liste der gesendeten SMS. Das ist mit dem Recht SMS senden zu dürfen möglich und muss auch möglich sein, denn sonst könnte man keinen alternativen SMS-Client schreiben. Und davon gibt es für Android einige, die auch durchaus ihre Eigenheiten und Vorteile bieten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor spYro 19.12.12 - 10:20

    Wenn du einer App beim installieren VOLLZUGRIFF auf dein Handy gewährst, dann ist es eben KEINE Sicherheitslücke, sondern Naivität des Users.
    Der EINZIGE Weg, um zu verhindern, dass der User sich einen Virus installiert ist, ihn NICHTS installieren zu lassen, was nicht 3x signiert wurde.
    Daher wird es sowas bei Apple auch nicht geben, zumindestens ohne Jailbreak.
    Das ist ähnlich wie bei anderen OS (Linux, Windows).
    Ein Admin KANN schaden anrichten, wenn er nicht weiß, was er tut. Aber einem User die Rechte auf eine Installation zu nehmen ist Sinnlos, da auch normale User Software installieren wollen. Daher kann man eben nur mehrere Warnhinweise einbauen, dass man VORSICHTIG sein soll. Aber wenn man zu viele Warnhinweise einbaut, fühlen sich User, als würde man sie für Blöd verkaufen.
    Also muss man das gesunde Mittelmaß finden und ich finde, dass Android das echt gut gelöst hat.
    Wenn ein User trotz mehrmaliger Warnung Mist baut, dann ist es eben blöd, aber es ist SEINE Schuld.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor M.P. 19.12.12 - 10:20

    Gerade diesem wiederum im verlinkten Artikel (https://blog.lookout.com/blog/2012/12/17/security-alert-spamsoldier/) aufgefundenen Link gefolgt:

    http://blog.cloudmark.com/2012/12/16/android-trojan-used-to-create-simple-sms-spam-botnet/

    Es wird wohl schon primär mit der Dummheit des Anwenders und nicht mit Sicherheitslücken operiert.

    P.S. Beinhaltet unter Android die Erlaubnis für den SMS-Versand eigentlich das Löschen von SMS - Protokollen, oder muss das separat abgenickt werden? Eine Applikation, die beides will KANN doch eigentlich nichts Gutes im Sinn haben...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor wurfkeks 19.12.12 - 10:20

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Ansonsten sind einige Details schon bedenklich für Android und sollten
    > verbessert werden:
    >
    > - SMS Versand ohne Protokoll (könnte aber ein "Feature" sein, das unsere
    > "Sicherheits"-Behörden verlangen)

    Wie bereits oben erwähnt, ändert die App im Nachhinein das Protokoll.

    > - Programm ohne Icon

    Oft haben auch Widgets kein Icon, da es ja Widgets sind, für die es keine richtige App gibt.

    > Wenn das alles ohne Ausnutzung von Sicherheitslücken, sondern mit
    > "normalen" API-Funktionen möglich ist, hat sich Android diskreditiert.
    >
    > Wichtige Fragen bleiben auch unbeantwortet.
    > - Wie hat das Programm das Recht bekommen SMS zu versenden?
    > - Wie hat das Programm das Recht bekommen auf einen Server im Internet
    > zuzugreifen?
    > Normalerweise muss man doch bei Installation sowas bestätigen...

    Wurde ebenfalls schon oben erwähnt: Der Nutzer muss dies explizit erlauben.

    Was bisher noch nicht gesagt wurde: Der Nutzer muss ebenfalls einstellen, dass "Apps aus unbekannter Quelle" installiert werden dürfen. Da laut Golem die App nicht aus dem Playstore kommt, kann man sie sonst sowieso nicht installieren.
    Und wer diese Option einschaltet sollte schon wissen, was er tut.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor Nephtys 19.12.12 - 10:21

    tomate.salat.inc schrieb:
    --------------------------------------------------------------------------------
    > M.P. schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das Löschen des Icons sollte auch erst nach Bestätigung des Nutzers
    > > erfolgen können...
    > Es findet kein Löschen statt, das beschreibt Golem hier schlicht falsch. In
    > der Manifest der App wird einfach kein eigenes Icon für die Schadsoftware
    > definiert. Somit wurde auch nie ein Icon erstellt.
    Als Service implementiert wäre es auch " unsichtbar"

    Trotzdem. Android ist schon sehr sicher. Der Benutzer muss jede Berechtigung erstmal für das Programm frei geben.

    Dass es von Lookout schon so lange erkannt wurde zeigt ja, dass es keine Sicherheitslücke, sondern eine Betrugsmasche ist. Dagegen muss ein Betriebssystem nicht schützen, denn es ist ein klares Layer 8 Problem.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor M.P. 19.12.12 - 10:24

    > Das ist mit dem Recht SMS senden zu dürfen möglich und muss auch möglich sein,
    > denn sonst könnte man keinen alternativen SMS-Client schreiben.

    Ich persönlich würde solch eine Anwendung nicht installieren.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor tomate.salat.inc 19.12.12 - 10:27

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > P.S. Beinhaltet unter Android die Erlaubnis für den SMS-Versand eigentlich
    > das Löschen von SMS - Protokollen, oder muss das separat abgenickt werden?
    > Eine Applikation, die beides will KANN doch eigentlich nichts Gutes im Sinn
    > haben...

    Auf die schnelle:
    mindestens fürs Senden, Empfangen und schreiben von SMS gibt es einzelne Permissions die die App beantragen muss. Für einen SMS-Client machen diese Rechte allerdings durchaus sinn.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor kendon 19.12.12 - 10:28

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Gerade diesem wiederum im verlinkten Artikel (blog.lookout.com
    > aufgefundenen Link gefolgt:
    >
    > blog.cloudmark.com
    >
    > Es wird wohl schon primär mit der Dummheit des Anwenders und nicht mit
    > Sicherheitslücken operiert.

    ich würde hier ignoranz hinzufügen. es hat nicht unbedingt was mit dummheit zu tun, sich nicht für die permissions einer app zu interessieren.

    > P.S. Beinhaltet unter Android die Erlaubnis für den SMS-Versand eigentlich
    > das Löschen von SMS - Protokollen, oder muss das separat abgenickt werden?
    > Eine Applikation, die beides will KANN doch eigentlich nichts Gutes im Sinn
    > haben...

    die permission dürfte "zugriff auf nachrichten" o.ä. heissen und sich daher nicht auf den versand beschränken. es kann durchaus sinnvoll sein wenn eine app sms löscht. ob das bei einem spiel der fall ist ist in der tat äusserst fraglich, hier kommt halt wieder die ignoranz des users ins spiel (pun intended).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor UP87 19.12.12 - 10:30

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > > Das ist mit dem Recht SMS senden zu dürfen möglich und muss auch möglich
    > sein,
    > > denn sonst könnte man keinen alternativen SMS-Client schreiben.
    >
    > Ich persönlich würde solch eine Anwendung nicht installieren.

    Es gibt wie gesagt zahllose gute und vertrauenswürdige SMS-Clients, die zusätzliche Funktionalitäten bieten. Das ist dann auch nichts anderes als einen Software E-Mail-Client auf dem PC zu nutzen. Da musst du auch darauf vertrauen, dass dieser nichts hinter deinem Rücken macht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor tomate.salat.inc 19.12.12 - 10:33

    wurfkeks schrieb:
    --------------------------------------------------------------------------------
    > Oft haben auch Widgets kein Icon, da es ja Widgets sind, für die es keine
    > richtige App gibt.

    Natürlich gibt es dafür eine richtige App. Diese hat aber ggf. einfach keine Activity die vom Launcher aus ausgeführt werden soll.
    Es ist einer App überlassen, ob und wieviele Icons sie dem Launcher zum anzeigen geben möchte.



    1 mal bearbeitet, zuletzt am 19.12.12 10:34 durch tomate.salat.inc.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor xviper 19.12.12 - 10:41

    Signaturen helfen nicht gegen bösartigen Code.
    Dass der Apple Appstore nicht sicher vor Schadsoftware ist, wurde auch schon gezeigt.
    Für Microsofts Store steht das noch aus, aber ich rechne damit, dass es auch hier jemand schafft.
    Es gibt prinzipiell kein sicheres System, das sich nachträglich mit Drittsoftware ausstatten lässt. Irgendwie und irgendwo taucht immer eine Lücke auf, durch die man Schadcode kriegen kann - am einfachsten unter aktiver Mithilfe des Benutzers, wie es auch hier wieder passiert.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor Anonymer Nutzer 19.12.12 - 10:52

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Ansonsten sind einige Details schon bedenklich für Android und sollten
    > verbessert werden:
    Sorry, aber das ist schon sehr weit hergeholt ... Wenn Du Deinen Sicherheitsgurt durchschneidest, dann sind auch nicht Audi und Daimler schuld.

    > - SMS Versand ohne Protokoll (könnte aber ein "Feature" sein, das unsere
    > "Sicherheits"-Behörden verlangen)
    Na klar. Die SMS wird erst eingetragen und dann wieder gelöscht. Der vertrottelte User hat ja dem vollen Zugriff auf das SMS Postfach zugestimmt. Und zwar nachdem er zugestimmt hat eine App aus Fremdquellen zu installieren und nachdem er bestätigt hat, dass er sich des Risikos bewusst ist. Bei einer App aus fremden, dubiosen Quellen kann man so einen User nur als Volltrottel bezeichnen.

    > - Programm ohne Icon
    Auch diese Rechte hat der User der App gegeben.

    > Wenn das alles ohne Ausnutzung von Sicherheitslücken, sondern mit
    > "normalen" API-Funktionen möglich ist, hat sich Android diskreditiert.
    Eben nicht. Der Volltrottel hat jeder Umgehung der Sicherheitsfeatures höchstpersönlich zugestimmt und sowohl die Sicherheitsmeldungen des Systems, als auch allgemeingültige und bekannte Ratschläge ignoriert.

    > Wichtige Fragen bleiben auch unbeantwortet.
    > - Wie hat das Programm das Recht bekommen SMS zu versenden?
    Vom Volltrottel höchstpersönlich.

    > - Wie hat das Programm das Recht bekommen auf einen Server im Internet
    > zuzugreifen?
    Vom Volltrottel höchstpersönlich.

    > Normalerweise muss man doch bei Installation sowas bestätigen...
    Genau das hat der Volltrottel gemacht.

    Sorry, wenn sich jemand beleidigt fühlt, aber so etwas muss man mal mit klaren Worten kommentieren. Wenn die Mehrheit glaubt, dass man sich mit Sicherheit der Systeme nicht befassen muss, ganz nach dem Motto: "das wird der Hersteller schon richten" und trotzdem glaubt alles probieren zu können/ müssen, dann sollte man diese Dummheit auch mal mit klaren Worten ansprechen dürfen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor spYro 19.12.12 - 10:53

    Du hast das Thema leider komplett verfehlt.
    Es geht nicht darum, dass Software Sicherheitslücken hat. Das steht außer Frage.

    Es geht einzig und allein darum, dass der unwissende USER die "Sicherheitslücke" ist.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. +1

    Autor spYro 19.12.12 - 10:58

    Dem ist nichts hinzuzufügen.
    Habs zwar ohne das Wort "Volltrottel" beschrieben, aber ansonsten stimme ich dir voll zu :)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor tomate.salat.inc 19.12.12 - 11:01

    hiasB schrieb:
    --------------------------------------------------------------------------------
    > > - Programm ohne Icon
    > Auch diese Rechte hat der User der App gegeben.

    Nope, dafür gibt es keine Berechtigung. Es ist alleine die Sache der App ob und wieviele eigene Icons bereitgestellt werden.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  20. Re: Zumindest ist die SMS selbst nicht der Virus

    Autor spYro 19.12.12 - 11:04

    tomate.salat.inc schrieb:
    --------------------------------------------------------------------------------
    > hiasB schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > - Programm ohne Icon
    > > Auch diese Rechte hat der User der App gegeben.
    >
    > Nope, dafür gibt es keine Berechtigung. Es ist alleine die Sache der App ob
    > und wieviele eigene Icons bereitgestellt werden.

    Wenn du es so genau nimmst, dann hat der User alleine durch die Installation der App ihr die rechte gegeben, sich im Launcher zu verewigen oder dies eben nicht zu tu ;)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektromagnetik: Der Dietrich für den Dieb von heute
Elektromagnetik
Der Dietrich für den Dieb von heute

In eigener Sache: Golem.de sucht Videoredakteur/-in
In eigener Sache
Golem.de sucht Videoredakteur/-in
  1. Golem pur Golem.de startet werbefreies Abomodell
  2. In eigener Sache Golem.de definiert sich selbst

Mittelerde Mordors Schatten: 6 GByte VRAM für scharfe Ultra-Texturen notwendig
Mittelerde Mordors Schatten
6 GByte VRAM für scharfe Ultra-Texturen notwendig
  1. Mordors Schatten Zerstörte Ork-Karrieren in Mittelerde

  1. Pavlok: Gewollte Stromschläge vom Fitness-Wearable
    Pavlok
    Gewollte Stromschläge vom Fitness-Wearable

    Einen ungewöhnlichen Ansatz zur Motivation setzt Erfinder Maneesh Sethi bei seinem Fitness-Armband Pavlok ein. Statt Nachrichten auf dem Display gibt es bei Fehlverhalten einfach einen mehr oder minder schmerzhaften Stromstoß.

  2. Apple: iOS hat noch immer WLAN-Probleme
    Apple
    iOS hat noch immer WLAN-Probleme

    Das Update von iOS 8 auf IOS 8.0.2 hat offenbar vielen Anwender keine Lösung für ihre WLAN-Probleme gebracht. Nach wie vor wird in den Support-Foren von Apple berichtet, dass es zu Verbindungsabbrüchen und schlechten Datendurchsätzen kommt.

  3. Samsung: Galaxy Note 4 wird teurer und kommt früher
    Samsung
    Galaxy Note 4 wird teurer und kommt früher

    Das Galaxy Note 4 wird früher als erwartet auf den Markt kommen. Es soll bereits Mitte des Monats zu haben sein. Allerdings müssen Kunden sich auf einen höheren Preis einrichten - Samsung hat erstmals den Listenpreis genannt.


  1. 08:21

  2. 08:09

  3. 07:57

  4. 07:27

  5. 07:12

  6. 19:00

  7. 18:58

  8. 18:48