1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Onlinebanking: Sparkassen-App für…

Sucht nach /system/bin/su????

  1. Thema

Neues Thema Ansicht wechseln


  1. Sucht nach /system/bin/su????

    Autor: lear 29.12.15 - 09:43

    Warum bitte nicht get(e)uid - und zwar dann, wenn es darauf ankommt?
    Die andere Äpp scheint ja "irgendwie" (also scheint getuid auszureichen, geteuid ist in java ja nicht...) die UID abzufragen, also was bitte soll der Scheiß? Ernsthaft? Die wollen doch beklaut werden ;-)

  2. Re: Sucht nach /system/bin/su????

    Autor: Mingfu 29.12.15 - 10:21

    Was soll das bringen? Das Problem ist doch nicht, dass die Banking-App selbst mit Root-Rechten ausgeführt würde. Die wird ganz normal ausgeführt. Das Problem ist, wenn eine andere App im Hintergrund Root-Rechte hat und demzufolge in vielfältiger Weise auf das System einwirken kann - unter anderem halt auch die Ausführung der Banking-App manipuliert.

    Man kann also nur nach Anzeichen schauen, dass andere Apps auf dem Smartphone eventuell Root-Rechte besitzen könnten (deshalb die Suche nach su). Naturgemäß kann das aber kaum zuverlässig funktionieren, denn man versucht aus einer eingeschränkten Umgebung heraus ein Root-Kit zu suchen, welches sich selbst immer entsprechend verstecken kann.

  3. Re: Sucht nach /system/bin/su????

    Autor: lear 29.12.15 - 10:33

    > Das Problem ist, wenn eine andere App im Hintergrund Root-Rechte hat
    Also Äpp mit integriertem Virenscanner - kein Wunder, daß das nicht funktioniert.

    (Das System könnte auch im Vorfeld kompromittiert sein, irgend ein Kernelmodul ersetzen und danach "sauber" rebooten, bzw. irgendein Prozess hat sich über eine lücke suid(0) oder ein sticky bit geholt - und root prozesse laufen ohnehin einige, oder man lenkt bestimmten traffic über einen extra - nicht priviligierten - account, oder ...)

    Wenn die Sicherheit daran hängt, dann gute Nacht. Trusted environment ist auf einem *irgendwie* offenen System nicht zu machen. Nichtmal auf einem eyePhone.

  4. Re: Sucht nach /system/bin/su????

    Autor: M. 29.12.15 - 11:06

    > Wenn die Sicherheit daran hängt, dann gute Nacht. Trusted environment ist
    > auf einem *irgendwie* offenen System nicht zu machen. Nichtmal auf einem
    > eyePhone.
    Genau, und exakt das ist das Problem. Das Problem ist nicht ein gerootetes Gerät. Das Problem ist, einem Smartphone generell zu vertrauen. Ich warte ja immer noch drauf, dass endlich mal die Tatsache akzeptiert wird, dass das schon lange keine Embedded-Geräte mit höchst eingeschränktem Anwendungsspektrum mehr sind, sondern mit dem Internet verbundene Computer (nur halt mit einer anderen CPU-Architektur). Dementsprechend sollten sie auch behandelt werden...

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  5. Re: Sucht nach /system/bin/su????

    Autor: Tyra Misoux 29.12.15 - 11:55

    Ob sich nun ein User das Recht herausnimmt auf seinem Gerät alle Rechte zu haben oder nicht - es entbindet ihn nicht von der Pflicht sich vor der Installation eines Programmes gewisse Sachverhalte sicherzustellen.... Vielleicht wäre es vor allem für Fachmagazine lohnender, die Leser dahingehend fit zu machen anstatt den Umstand, Dass ein auf einem am Internet hängenden Computer mit rootrechten ein vom Benutzer manuell installiertes (das Rechte sich noch explizit anmeldet, falls sich mal wert die Mühe macht die Rechte zu verifizieren), möglicherweise Böses tut, als vermeintliche Schwachstelle zu verkaufen.

  6. Re: Sucht nach /system/bin/su????

    Autor: Mingfu 29.12.15 - 12:14

    Soweit man deinen Beitrag verstehen kann (was aufgrund der teils zufälligen Aneinanderreihung von Worten nicht ganz trivial ist), ignorierst du vollständig die Tatsache, dass eine App eben nicht unbedingt Root-Rechte anmelden muss, um Root-Rechte auch zu erhalten. Denn durch Sicherheitslücken in Android, wie sie beispielsweise von Rooting-Apps wie Towelroot oder Kingroot ausgenutzt werden, ist es ebenfalls möglich, Root-Rechte mittels App auch auf nicht gerooteten Geräten zu erhalten und ohne dass dies dem Benutzer auf der Seite der angeforderten Rechte angezeigt wird.

    Man wäre hier wieder bei dem alten Problem, dass man unterscheiden können muss, ob eine App ein Trojaner ist oder ein legitimes Programm. Das geht im allgemeinen aber nicht.

  7. Re: Sucht nach /system/bin/su????

    Autor: lear 29.12.15 - 12:17

    Smartphonenutzer ... Fachmagazine. Ja klar.

    Die "Schwachstelle" ist die irrige Annahme der Sparkassen-Äpp, sich irgendwie auf die Umgebung verlassen zu können - das geht bei offenen Systemen nicht, ging nie und wird niemals gehen. Punkt. So ein Ansatz ist *immer* für die Tonne, das muß man nicht mehr beweisen.

  8. Re: Sucht nach /system/bin/su????

    Autor: TC 29.12.15 - 22:16

    S-Banking+ hat ja ne zeit lang den Start auf gerooteten Geräten komplett verweigert,
    später dann nur noch eine Warnmeldung gezeigt... haben die es wieder eingeführt?

    fände ich sehr ätzend, Android ohne Root würd ich freiwillig nie wieder nutzen wollen

  9. Re: Sucht nach /system/bin/su????

    Autor: user12345 30.12.15 - 00:44

    Android ohne Root wäre für mich unbrauchbar.

  10. Re: Sucht nach /system/bin/su????

    Autor: ww 30.12.15 - 12:23

    Für mich auch unbrauchbar ohne Root. Man muss wohl einfach akzeptieren, dass Android so unsicher ist, dass man kein Banking damit betreiben sollte.

  11. Re: Sucht nach /system/bin/su????

    Autor: lear 30.12.15 - 23:35

    Das hat nichts mit Android, geschweige denn (intendiertem) rooten, zu tun, sondern dem selten dämlichen Ansatz, sich auf die Integrität eines nicht geschlossenen Systems (und *alle* Smartphone OS sind mehr oder weniger offen, auch bei iOS ist ja keineswegs alles verifiziert und validiert - sowas ist in dem Bereich gar nicht umsetzbar) zu verlassen.

    Selbst die Zweifaktorauthentifizierung faltet ja erstmal "nur" die W'keit eines kompromittierten Systems.

    Tatsächliche Sicherheit kann nur ein verifiziertes und validiertes (also "minimales", das ist tierisch aufwendig), geschlossenes (im Sinne von "kann nicht nachträglich geändert werden", nicht unbedingt von "closed source") System bieten, welches zum. als Prüfkompnente dient (also einen output benötigt)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hochschule Furtwangen, Furtwangen
  2. Müller Holding GmbH & Co. KG, Ulm-Jungingen
  3. Polizeipräsidium Unterfranken, Aschaffenburg, Würzburg
  4. Stadt Bochum, Bochum

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-79%) 5,99€
  2. (-28%) 17,99€
  3. 18,99€
  4. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

Energiewende: Grüner Wasserstoff aus der Zinnschmelze
Energiewende
Grüner Wasserstoff aus der Zinnschmelze

Wasserstoff ist wichtig für die Energiewende. Er kann als Treibstoff für Brennstoffzellenautos genutzt werden und gilt als sauber. Seine Herstellung ist es aber bislang nicht. Karlsruher Forscher haben nun ein Verfahren entwickelt, bei dem kein schädliches Kohlendioxid entsteht.
Ein Bericht von Werner Pluta

  1. Brennstoffzelle Deutschland bekommt mehr Wasserstofftankstellen
  2. Energiewende Hamburg will große Wasserstoff-Elektrolyseanlage bauen

  1. Snapdragon XR2: Qualcomm hat ersten XR-Chip mit 5G-Option
    Snapdragon XR2
    Qualcomm hat ersten XR-Chip mit 5G-Option

    Egal ob Brille oder Headset: Mit dem Snapdragon XR2 sollen AR-, MR- und VR-Geräte deutlich besser werden. Der Chip ist eine Version des Snapdragon 865, er unterstützt Augen-, Gesichts- und Hand-Tracking.

  2. Snapdragon 8c/7c: Zwei Chips für Chromebooks und Win10 on ARM
    Snapdragon 8c/7c
    Zwei Chips für Chromebooks und Win10 on ARM

    Qualcomm stellt sich breiter auf: Der Snapdragon 8c folgt auf den Snapdragon 8cx und ist für 500-Dollar-Notebooks mit Windows 10 on ARM gedacht, der noch günstigere Snapdragon 7c wird zusätzlich in Chromebooks stecken.

  3. Bundeskartellamt: Telekom und Ewe dürfen zusammen Glasfaser ausbauen
    Bundeskartellamt
    Telekom und Ewe dürfen zusammen Glasfaser ausbauen

    Mit hohen Auflagen hat das Bundeskartellamt wesentliche Teile der Glasfaser-Kooperation zwischen Telekom und Ewe genehmigt. Die Partner haben sich noch nicht dazu geäußert.


  1. 01:12

  2. 21:30

  3. 16:40

  4. 16:12

  5. 15:50

  6. 15:28

  7. 15:11

  8. 14:45