1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Unverschlüsselte App…

Schlechter Artikel

  1. Thema

Neues Thema Ansicht wechseln


  1. Schlechter Artikel

    Autor: Mingfu 17.06.15 - 08:07

    In dem Artikel steht nicht drin, um was es überhaupt geht. Es geht natürlich nicht um reguläre App-Updates. Denn diese sind in Form von APK-Dateien mit dem Herstellerschlüssel signiert und können deshalb nicht manipuliert werden - egal, wie sie übertragen werden.

    Es geht darum, dass die Keyboard-App Systemrechte hat und mit diesen Rechten ZIP-Dateien mit entsprechenden Tastaturlayouts u. ä. nachlädt und diese ZIP-Dateien im System entpackt. Durch relative Pfadangaben in der ZIP-Datei ist es aber leicht möglich, dort Dateien an beliebige Stellen des Systems zu schreiben (und nicht nur in den von der Keyboard-App eigentlich vorgesehenen Ordner). Damit werden nun (mit ein paar zusätzlichen Tricks) Dateien im Dalvik-Cache überschrieben, die bei jedem Systemboot ausgeführt werden. Und damit kann man dann eigenen Code zur Ausführung bringen.

    IT-News für Profis!



    2 mal bearbeitet, zuletzt am 17.06.15 08:18 durch Mingfu.

  2. Re: Schlechter Artikel

    Autor: aFrI 17.06.15 - 08:27

    Dein Beitrag ist um Welten besser & informativer als die eigentliche Meldung ;)

  3. Re: Schlechter Artikel

    Autor: techetikus 17.06.15 - 11:15

    Da kann man nur zustimmen, das ist Bildzeitungs-Niveau.
    Schlagzeilen so aufmerksamkeitserregend wie möglich formulieren, egal ob der Sinn komplett verzerrt wird und die Unternehmen ins schlechte Licht gerückt werden.

    Der Kern des ganzen ist doch auch, dass der Angreifer aus dem selben lokalen Netz sein muss.
    Dass man sich in öffentlichen WLANs und Hotspots auf unsicherem Terrain bewegt weiß doch jeder.

    Hier wird wirklich der Eindruck erweckt alle Samsung Nutzer die ein normales App-Update beziehen seien gefährdet. Unnötige Panikmache und Hysterie.
    Der Witz ist aber: Dies zieht sich durch alle journalistischen Bereiche.

  4. Re: Schlechter Artikel

    Autor: underlines 17.06.15 - 11:25

    Ausserdem ist die Überschrift bewusst heuchlerisch gewählt.

    Wie von dir schon erwähnt, es geht nicht um AppStore Updates.

    Es geht um das SwiftKey Keyboard. Das ist auch nicht von Samsung, sondern lediglich auf einigen Carrier Locked devices installiert. Internationale oder Unlocked versionen der Smartphones sind nicht betroffen. Ich habe noch nie ein Samsung mit vorinstalliertem SwiftKey gehabt.

    Der Fehler liegt eher bei SwiftKey, die unverschlüsseltes HTTP nutzen und ausserdem eine plaintext Prüfsumme anstatt Zertifikate verwenden.

  5. Re: Schlechter Artikel

    Autor: Anonymer Nutzer 17.06.15 - 11:52

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > In dem Artikel steht nicht drin, um was es überhaupt geht.

    Doch

    >Es geht natürlich nicht um reguläre App-Updates.

    Richtig,es geht um die App Samsung IME und dessen Kommunikation mit den Swiftkey-Servern.


    >Denn diese sind in Form von
    > APK-Dateien mit dem Herstellerschlüssel signiert und können deshalb nicht
    > manipuliert werden - egal, wie sie übertragen >werden.

    Richtig,und genau das ist hier auch garnicht relevant. Denn die APK ist bereits im Speicher und zwar nicht im Speicher von Googles PlayStore.

    > Es geht darum, dass die Keyboard-App Systemrechte hat und mit diesen
    > Rechten ZIP-Dateien mit entsprechenden Tastaturlayouts u. ä. nachlädt und
    > diese ZIP-Dateien im System entpackt. Durch relative Pfadangaben in der
    > ZIP-Datei ist es aber leicht möglich, dort Dateien an beliebige Stellen des
    > Systems zu schreiben (und nicht nur in den von der Keyboard-App eigentlich
    > vorgesehenen Ordner). Damit werden nun (mit ein paar zusätzlichen Tricks)
    > Dateien im Dalvik-Cache überschrieben, die bei jedem Systemboot ausgeführt
    > werden. Und damit kann man dann eigenen Code zur Ausführung bringen.
    >
    > IT-News für Profis!

    Und warum kommuniziert das Samsung Keyboard so mit der Außenwelt das mir jeder Karlarsch einen Keylogger verpflastern kann?

    Wo sind denn jetzt hier die Positiven Nachrichten? Weder der Artikel,noch dein Beitrag,klingen so als könne man sich über irgendwas freuen.

  6. Re: Schlechter Artikel

    Autor: mziegler 17.06.15 - 12:21

    underlines schrieb:
    --------------------------------------------------------------------------------
    > Es geht um das SwiftKey Keyboard. Das ist auch nicht von Samsung, sondern
    > lediglich auf einigen Carrier Locked devices installiert.
    Nein, es geht eben nicht um das SwiftKey Keyboard, sondern um Samsung IME. Dass wird von Samsung mit ausgeliefert. Teile davon sind wiederum von dem Hersteller von SwiftKey im Auftrag von Samsung entwickelt worden.

  7. Re: Schlechter Artikel

    Autor: nykiel.marek 17.06.15 - 14:03

    Ich hatte nicht den Eindruck, als ob Mingfu sich über irgendetwas freuen möchte, vielmehr hat er nur das schwache Niveau des Artikels kritisiert.
    LG, MN

  8. Re: Schlechter Artikel

    Autor: Anonymer Nutzer 17.06.15 - 20:59

    nykiel.marek schrieb:
    --------------------------------------------------------------------------------
    > Ich hatte nicht den Eindruck, als ob Mingfu sich über irgendetwas freuen
    > möchte, vielmehr hat er nur das schwache Niveau des Artikels kritisiert.
    > LG, MN


    Er hat den Text aber maximal nur überflogen und unter solchen Vorraussetzungen kann man unmöglich eine Kritik auf höherem Niveau leisten. Im Gegenteil,seine Kritik fußt hauptsächlich auf der vermeintlich falschen Begrifflichkeit "App Update".

    Deshalb vermeintlich falsch,weil die sogenannte "lastUpdateTime" unweigerlich abgefragt wird. Und dieser call lautet ganz schlicht und einfach "Update". Da wird nähmlich nichts gepusht und auch nichts synchronisiert. Die App fragt ob ein Update am Server vorliegt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fachhochschule Südwestfalen, Soest
  2. RZV Rechenzentrum Volmarstein GmbH, Wetter (Ruhr), Berlin, Bielefeld
  3. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  4. Dr. August Oetker Nahrungsmittel KG, Bielefeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Red Dead Redemption 2 PS4 24,99€, Need for Speed Heat PS4 44,97€, Star Wars Jedi: Fallen...
  2. 57,99€
  3. 45,99€ statt 59,99€ | Special Edition für 53,99€ und Ultimate Edition für 63,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


HR-Analytics: Weshalb Mitarbeiter kündigen
HR-Analytics
Weshalb Mitarbeiter kündigen

HR-Analytics soll vorhersagbare und damit wertvollere Informationen liefern als reine Zahlen aus dem Controlling. Diese junge Disziplin im Personalwesen hat großes Potenzial, weil sie Personaler in die Lage versetzt, zu agieren, statt zu reagieren.
Ein Bericht von Peter Ilg

  1. Frauen in der IT Ist Logik von Natur aus Männersache?
  2. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  3. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

Mi Note 10 im Kamera-Test: Der Herausforderer
Mi Note 10 im Kamera-Test
Der Herausforderer

Im ersten Hands on hat Xiaomis Fünf-Kamera-Smartphone Mi Note 10 bereits einen guten ersten Eindruck gemacht, jetzt ist der Vergleich mit anderen Smartphones dran. Dabei zeigt sich, dass es einen neuen, ernstzunehmenden Konkurrenten unter den besten Smartphone-Kameras gibt.
Von Tobias Költzsch

  1. Mi Note 10 im Hands on Fünf Kameras, die sich lohnen
  2. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  3. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro

  1. Valve: Systemanforderungen und VR-Headsets für Half-Life Alyx
    Valve
    Systemanforderungen und VR-Headsets für Half-Life Alyx

    Fast 1.100 Euro können Fans für das bestmögliche VR-Headset ausgeben, um Half-Life Alyx zu spielen - es geht aber auch preisgünstiger. Gleichzeitig muss der Gaming-PC ausreichend schnell für das Abenteuer in City 17 sein.

  2. Sicherheitslücke: Google jagt Zero-Day-Lücken auch mit Marketing-Material
    Sicherheitslücke
    Google jagt Zero-Day-Lücken auch mit Marketing-Material

    Als Teil des Project Zero erklärt Google nun erstmals die Suche nach 0-Day-Lücken. Geholfen hat im Fall einer Kernel-Lücke etwa auch Marketing-Material des Exploit-Verkäufers. Die Community soll mithelfen.

  3. Windows 10 Home 1909: US-Nutzer müssen für Installation Microsoft-Konten nutzen
    Windows 10 Home 1909
    US-Nutzer müssen für Installation Microsoft-Konten nutzen

    Das Setup von Windows 10 Home wird für US-Nutzer eingeschränkt. Es kann nur noch ein Onlinekonto erstellt werden. Allerdings gibt es eine simple Lösung: das Netzwerkkabel ziehen.


  1. 11:12

  2. 10:58

  3. 10:45

  4. 10:31

  5. 10:29

  6. 10:13

  7. 09:59

  8. 09:50