Fehlende SecurityPatches bei "alten" Android Geräten

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14505

20.05.2023 - 13:15

Zitat aus einem Post von Viper780
natürlich hast du zu einem Teil recht. Aber was unterscheidet ein durchschnittliches Smartphone mit einem offenen Bootloader von einem PC? Bei beiden hast du Binary Firmware und Treiber die closed sind und jemand anderer unter Kontrolle hat.

naja, soweit sind wir am PC zum glück noch nicht, auch wenn microsoft das sicher gern hätte.

nur weil etwas closed source ist heisst das noch lange ned, dass das mein system kontrolliert und fernzugriff auf alle daten hat (also jetzt systemfirmware abgesehen von microsoft/windows)... hoffe ich jedenfalls

WONDERMIKE

Administrator
kenough

Registered: Jul 2001
Location: Mojo Dojo Casa H..
Posts: 10795

20.05.2023 - 14:26

@mr.nice.

Ein guter Bekannter, sehr vernünftiger Mensch aus dem mittleren Management, wurde auch Opfer. Am beeindruckendsten war der Telefonkontakt mit den Betrügern. Die haben sich extrem professionell verhalten und sich erst im späteren Verlauf einen Ausrutscher geleistet, der zum Verdachtsmoment für ihn wurde. Da hat er dann auch direkt Anzeige erstattet und musste alle Geräte säubern, aber leider waren wenige tausend Euro bereits weg.

InfiX und xtrm, ihr macht da 2 Fehler, wenn ihr denkt es läge allein in eurer Hand und ihr wärt sowieso unfehlbar. Bei einem Ex-Kollegen hat kürzlich der Klick auf einen Link von einem Freund im Discord gereicht.

Garbage

Elder
The Wizard of Owls

Registered: Jul 2000
Location: GR.ch|TI.ch
Posts: 11412

20.05.2023 - 14:35

Ich habe mich eigentlich immer dagegen gewehrt irgendwas mit Bank am Smartphone zu machen. 2FA kann ich in AT bei der BAWAG noch immer klassisch per SMS haben, ohne eine App zu benötigen.

Hier in der Schweiz hingegen komm ich nicht wirklich aus, nur der Grad der Abhängigkeit variiert zwischen den Banken.
Bei der Bank meiner Freundin geht es defacto gar nicht (außer man geht zum Schalter), bei meiner Bank ginge es mit etwas zusätzlicher Umständlichkeit besser, aber für 2FA brauch ich trotzdem eine App.

Hinzu kommt, dass es hier nur noch QR-Code Zahlscheine gibt, somit brauch ich in jedem Fall eine Kamera. Dass das Handling in der App deutlich besser ist als mit Webcam, liegt auf der Hand. Bequem ist es zumindest bei meiner Bank schon, aber diesen Zwang sehe ich skeptisch, zumal mein P30 nur noch unregelmäßig Security Updates bekommt.

Ich hab aber weder Bedarf für "mehr" Handy noch will ich für ein neues, das in der selben Größenklasse ist, 800€ oder mehr hinlegen. :rolleyes:

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14505

20.05.2023 - 14:38

Zitat aus einem Post von WONDERMIKE
InfiX und xtrm, ihr macht da 2 Fehler, wenn ihr denkt es läge allein in eurer Hand und ihr wärt sowieso unfehlbar. Bei einem Ex-Kollegen hat kürzlich der Klick auf einen Link von einem Freund im Discord gereicht.

da hast du mich falsch verstanden, es liegt eben nicht in meiner hand, und deswegen mach ich mir da auch weniger sorgen, weil ichs eh nicht ändern kann, deshalb mach ich am handy einfach nichts sicherheitsrelevantes, bzw. alles was ich mach über den browser mit entsprechenden plugins wo ich wenigstens ein bischen kontrolle darüber hab.

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 11069

20.05.2023 - 14:40

Zitat aus einem Post von WONDERMIKE
@mr.nice.

Ein guter Bekannter, sehr vernünftiger Mensch aus dem mittleren Management, wurde auch Opfer. Am beeindruckendsten war der Telefonkontakt mit den Betrügern. Die haben sich extrem professionell verhalten und sich erst im späteren Verlauf einen Ausrutscher geleistet, der zum Verdachtsmoment für ihn wurde. Da hat er dann auch direkt Anzeige erstattet und musste alle Geräte säubern, aber leider waren wenige tausend Euro bereits weg.

InfiX und xtrm, ihr macht da 2 Fehler, wenn ihr denkt es läge allein in eurer Hand und ihr wärt sowieso unfehlbar. Bei einem Ex-Kollegen hat kürzlich der Klick auf einen Link von einem Freund im Discord gereicht.

und was hat das mit der Aktualität des systems zu tun?
day 1 exploits gibt es immer. und ein erfolgreicher scam angriff macht mit einem aktuellen system keinen unterschied.

link geklickt = pita. egal ob da jetzt das sicherheitsupdate von mai 23 drauf ist, oder das letzte update 2 jahre alt ist.

WONDERMIKE

Administrator
kenough

Registered: Jul 2001
Location: Mojo Dojo Casa H..
Posts: 10795

20.05.2023 - 14:45

Zitat aus einem Post von Garbage
2FA kann ich in AT bei der BAWAG noch immer klassisch per SMS haben, ohne eine App zu benötigen.

SMS ist halt die unsicherste 2FA Methode :/ Da gibt es Ansätze im Mobilfunknetz mit seinen alten Standards und offenen Lücken, sowie der Sim/Telefonnummer bzw sogar dem Callcentermenschen beim Mobilfunker, um einen erfolgreichen Angriff durchzuführen.

Ich hoffe beim Mobilfunk tut sich da bald mal generell etwas. Es ist wirklich ärgerlich, dass jeder Dodl andere zB mit deiner Nummer belästigen kann.

Zitat aus einem Post von sk/\r
und was hat das mit der Aktualität des systems zu tun?
day 1 exploits gibt es immer. und ein erfolgreicher scam angriff macht mit einem aktuellen system keinen unterschied.

link geklickt = pita. egal ob da jetzt das sicherheitsupdate von mai 23 drauf ist, oder das letzte update 2 jahre alt ist.

Das hat mit dem Thema „Ich bin unfehlbar“ zu tun. Aber natürlich wurde hier nicht nur der soziale Vektor angegriffen.

Gegen bösartige Links und Malware kann dich aktuelle Software natürlich schon schützen. Viele rühmen sich aber damit möglichst viele Sicherheitsfunktionen abzudrehen oder bewusst Aktualisierungen zu verhindern.

Für mich die Analogie zu den bestesten Autofahrern da draußen ohne Gurt, „weil man kann auch mit Gurt sterben und ich weiß am besten was ich tu“. Oder garniert mit politischer Blendung: „mir gefallen die Geschäftspraktiken des Gurtherstellers nicht und bin daher fortan nicht angegurteter Freiheitskämpfer für das Gute“ ;p

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

20.05.2023 - 14:48

Die Bank Austria App mag mein altes One+ 3 nicht mehr. Zu unsicher angeblich.
Wollte ich der Sis schenken, da ihre Bank SMS TAN bald komplett streicht und sie bisher Klugfons verweigerte. "Do kenn I mi jo ned aus.."

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14505

20.05.2023 - 14:49

Zitat aus einem Post von WONDERMIKE
SMS ist halt die unsicherste 2FA Methode :/

ist das so? gesamt gesehen find ich eine app die ungeniert zugriff auf mein handy hat unsicherer als ein code den womöglich jemand anders lesen kann, der hat dann wenigstens nur den code mit dem allein er nichts anfängt, während mit dem zugriff aufs handy deutlich mehr möglich ist.

am liebsten sind mir in dem fall immer noch hardware tokens.

Garbage

Elder
The Wizard of Owls

Registered: Jul 2000
Location: GR.ch|TI.ch
Posts: 11412

20.05.2023 - 14:55

Klar, SMS ist für 2FA auch nicht die allerbeste Lösung.
Ich fand ja die klassische TAN Liste eigentlich ganz brauchbar, aber die gibts schon lange nicht mehr.

WONDERMIKE

Administrator
kenough

Registered: Jul 2001
Location: Mojo Dojo Casa H..
Posts: 10795

20.05.2023 - 15:05

Zitat aus einem Post von InfiX
ist das so? gesamt gesehen find ich eine app die ungeniert zugriff auf mein handy hat unsicherer als ein code den womöglich jemand anders lesen kann, der hat dann wenigstens nur den code mit dem allein er nichts anfängt, während mit dem zugriff aufs handy deutlich mehr möglich ist.

Angriffe auf SMS/SIM sind einfacher, als auf deine Bank App. Ist dir ein Fall bekannt, bei dem Angreifer via Bank App Zugriff auf das Gerät erhielten?

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14505

20.05.2023 - 15:13

das ist weniger die frage, sondern will ich, dass die bank und deren softwareprovider zugriff auf mein gerät haben?

Cobase

Vereinsmitglied
Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17908

20.05.2023 - 15:54

TAN-Generatoren gibt es doch auch noch als 2. Faktor bei den Banken, oder überseh ich etwas?

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50489

20.05.2023 - 19:12

Zitat aus einem Post von InfiX
naja, soweit sind wir am PC zum glück noch nicht, auch wenn microsoft das sicher gern hätte.

nur weil etwas closed source ist heisst das noch lange ned, dass das mein system kontrolliert und fernzugriff auf alle daten hat (also jetzt systemfirmware abgesehen von microsoft/windows)... hoffe ich jedenfalls

Hast dir mal angesehen was mit einer Management Engine alles möglich ist?

Du hast exakt das selbe Problem und kannst den gesamten I/O am PC nach belieben manipulieren.

Und zu 2FA ja SMS ist mit Abstand das unsicherste, sogar Mail ist da besser.
TOTP oder eine ganz eigene App mit Rückkanal sind von der Sicherheit am weitesten vorne

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5290

20.05.2023 - 19:21

das sicherste waren immer noch die papierzettel...

TitusTheFox

The Oilman

Registered: Aug 2004
Location: Oiltown
Posts: 1256

21.05.2023 - 08:31

So, ich hab gestern auf mein Samsung S9 LineageOS geflasht, Banking-APPS bis auf die 2FA gelöscht. usability ist auch um einiges besser.

InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14505	20.05.2023 - 13:15 Zitat aus einem Post von Viper780 natürlich hast du zu einem Teil recht. Aber was unterscheidet ein durchschnittliches Smartphone mit einem offenen Bootloader von einem PC? Bei beiden hast du Binary Firmware und Treiber die closed sind und jemand anderer unter Kontrolle hat. naja, soweit sind wir am PC zum glück noch nicht, auch wenn microsoft das sicher gern hätte. nur weil etwas closed source ist heisst das noch lange ned, dass das mein system kontrolliert und fernzugriff auf alle daten hat (also jetzt systemfirmware abgesehen von microsoft/windows)... hoffe ich jedenfalls
WONDERMIKE Administrator kenough Registered: Jul 2001 Location: Mojo Dojo Casa H.. Posts: 10795	20.05.2023 - 14:26 @mr.nice. Ein guter Bekannter, sehr vernünftiger Mensch aus dem mittleren Management, wurde auch Opfer. Am beeindruckendsten war der Telefonkontakt mit den Betrügern. Die haben sich extrem professionell verhalten und sich erst im späteren Verlauf einen Ausrutscher geleistet, der zum Verdachtsmoment für ihn wurde. Da hat er dann auch direkt Anzeige erstattet und musste alle Geräte säubern, aber leider waren wenige tausend Euro bereits weg. InfiX und xtrm, ihr macht da 2 Fehler, wenn ihr denkt es läge allein in eurer Hand und ihr wärt sowieso unfehlbar. Bei einem Ex-Kollegen hat kürzlich der Klick auf einen Link von einem Freund im Discord gereicht.
Garbage Elder The Wizard of Owls Registered: Jul 2000 Location: GR.ch\|TI.ch Posts: 11412	20.05.2023 - 14:35 Ich habe mich eigentlich immer dagegen gewehrt irgendwas mit Bank am Smartphone zu machen. 2FA kann ich in AT bei der BAWAG noch immer klassisch per SMS haben, ohne eine App zu benötigen. Hier in der Schweiz hingegen komm ich nicht wirklich aus, nur der Grad der Abhängigkeit variiert zwischen den Banken. Bei der Bank meiner Freundin geht es defacto gar nicht (außer man geht zum Schalter), bei meiner Bank ginge es mit etwas zusätzlicher Umständlichkeit besser, aber für 2FA brauch ich trotzdem eine App. Hinzu kommt, dass es hier nur noch QR-Code Zahlscheine gibt, somit brauch ich in jedem Fall eine Kamera. Dass das Handling in der App deutlich besser ist als mit Webcam, liegt auf der Hand. Bequem ist es zumindest bei meiner Bank schon, aber diesen Zwang sehe ich skeptisch, zumal mein P30 nur noch unregelmäßig Security Updates bekommt. Ich hab aber weder Bedarf für "mehr" Handy noch will ich für ein neues, das in der selben Größenklasse ist, 800€ oder mehr hinlegen.
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14505	20.05.2023 - 14:38 Zitat aus einem Post von WONDERMIKE InfiX und xtrm, ihr macht da 2 Fehler, wenn ihr denkt es läge allein in eurer Hand und ihr wärt sowieso unfehlbar. Bei einem Ex-Kollegen hat kürzlich der Klick auf einen Link von einem Freund im Discord gereicht. da hast du mich falsch verstanden, es liegt eben nicht in meiner hand, und deswegen mach ich mir da auch weniger sorgen, weil ichs eh nicht ändern kann, deshalb mach ich am handy einfach nichts sicherheitsrelevantes, bzw. alles was ich mach über den browser mit entsprechenden plugins wo ich wenigstens ein bischen kontrolle darüber hab.
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 11069	20.05.2023 - 14:40 Zitat aus einem Post von WONDERMIKE @mr.nice. Ein guter Bekannter, sehr vernünftiger Mensch aus dem mittleren Management, wurde auch Opfer. Am beeindruckendsten war der Telefonkontakt mit den Betrügern. Die haben sich extrem professionell verhalten und sich erst im späteren Verlauf einen Ausrutscher geleistet, der zum Verdachtsmoment für ihn wurde. Da hat er dann auch direkt Anzeige erstattet und musste alle Geräte säubern, aber leider waren wenige tausend Euro bereits weg. InfiX und xtrm, ihr macht da 2 Fehler, wenn ihr denkt es läge allein in eurer Hand und ihr wärt sowieso unfehlbar. Bei einem Ex-Kollegen hat kürzlich der Klick auf einen Link von einem Freund im Discord gereicht. und was hat das mit der Aktualität des systems zu tun? day 1 exploits gibt es immer. und ein erfolgreicher scam angriff macht mit einem aktuellen system keinen unterschied. link geklickt = pita. egal ob da jetzt das sicherheitsupdate von mai 23 drauf ist, oder das letzte update 2 jahre alt ist.
WONDERMIKE Administrator kenough Registered: Jul 2001 Location: Mojo Dojo Casa H.. Posts: 10795	20.05.2023 - 14:45 Zitat aus einem Post von Garbage 2FA kann ich in AT bei der BAWAG noch immer klassisch per SMS haben, ohne eine App zu benötigen. SMS ist halt die unsicherste 2FA Methode :/ Da gibt es Ansätze im Mobilfunknetz mit seinen alten Standards und offenen Lücken, sowie der Sim/Telefonnummer bzw sogar dem Callcentermenschen beim Mobilfunker, um einen erfolgreichen Angriff durchzuführen. Ich hoffe beim Mobilfunk tut sich da bald mal generell etwas. Es ist wirklich ärgerlich, dass jeder Dodl andere zB mit deiner Nummer belästigen kann. Zitat aus einem Post von sk/\r und was hat das mit der Aktualität des systems zu tun? day 1 exploits gibt es immer. und ein erfolgreicher scam angriff macht mit einem aktuellen system keinen unterschied. link geklickt = pita. egal ob da jetzt das sicherheitsupdate von mai 23 drauf ist, oder das letzte update 2 jahre alt ist. Das hat mit dem Thema „Ich bin unfehlbar“ zu tun. Aber natürlich wurde hier nicht nur der soziale Vektor angegriffen. Gegen bösartige Links und Malware kann dich aktuelle Software natürlich schon schützen. Viele rühmen sich aber damit möglichst viele Sicherheitsfunktionen abzudrehen oder bewusst Aktualisierungen zu verhindern. Für mich die Analogie zu den bestesten Autofahrern da draußen ohne Gurt, „weil man kann auch mit Gurt sterben und ich weiß am besten was ich tu“. Oder garniert mit politischer Blendung: „mir gefallen die Geschäftspraktiken des Gurtherstellers nicht und bin daher fortan nicht angegurteter Freiheitskämpfer für das Gute“ ;p
Guest Deleted User Registered: n/a Location: Posts: n/a	20.05.2023 - 14:48 Die Bank Austria App mag mein altes One+ 3 nicht mehr. Zu unsicher angeblich. Wollte ich der Sis schenken, da ihre Bank SMS TAN bald komplett streicht und sie bisher Klugfons verweigerte. "Do kenn I mi jo ned aus.."
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14505	20.05.2023 - 14:49 Zitat aus einem Post von WONDERMIKE SMS ist halt die unsicherste 2FA Methode :/ ist das so? gesamt gesehen find ich eine app die ungeniert zugriff auf mein handy hat unsicherer als ein code den womöglich jemand anders lesen kann, der hat dann wenigstens nur den code mit dem allein er nichts anfängt, während mit dem zugriff aufs handy deutlich mehr möglich ist. am liebsten sind mir in dem fall immer noch hardware tokens.
Garbage Elder The Wizard of Owls Registered: Jul 2000 Location: GR.ch\|TI.ch Posts: 11412	20.05.2023 - 14:55 Klar, SMS ist für 2FA auch nicht die allerbeste Lösung. Ich fand ja die klassische TAN Liste eigentlich ganz brauchbar, aber die gibts schon lange nicht mehr.
WONDERMIKE Administrator kenough Registered: Jul 2001 Location: Mojo Dojo Casa H.. Posts: 10795	20.05.2023 - 15:05 Zitat aus einem Post von InfiX ist das so? gesamt gesehen find ich eine app die ungeniert zugriff auf mein handy hat unsicherer als ein code den womöglich jemand anders lesen kann, der hat dann wenigstens nur den code mit dem allein er nichts anfängt, während mit dem zugriff aufs handy deutlich mehr möglich ist. Angriffe auf SMS/SIM sind einfacher, als auf deine Bank App. Ist dir ein Fall bekannt, bei dem Angreifer via Bank App Zugriff auf das Gerät erhielten?
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14505	20.05.2023 - 15:13 das ist weniger die frage, sondern will ich, dass die bank und deren softwareprovider zugriff auf mein gerät haben?
Cobase Vereinsmitglied Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17908	20.05.2023 - 15:54 TAN-Generatoren gibt es doch auch noch als 2. Faktor bei den Banken, oder überseh ich etwas?
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50489	20.05.2023 - 19:12 Zitat aus einem Post von InfiX naja, soweit sind wir am PC zum glück noch nicht, auch wenn microsoft das sicher gern hätte. nur weil etwas closed source ist heisst das noch lange ned, dass das mein system kontrolliert und fernzugriff auf alle daten hat (also jetzt systemfirmware abgesehen von microsoft/windows)... hoffe ich jedenfalls Hast dir mal angesehen was mit einer Management Engine alles möglich ist? Du hast exakt das selbe Problem und kannst den gesamten I/O am PC nach belieben manipulieren. Und zu 2FA ja SMS ist mit Abstand das unsicherste, sogar Mail ist da besser. TOTP oder eine ganz eigene App mit Rückkanal sind von der Sicherheit am weitesten vorne
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5290	20.05.2023 - 19:21 das sicherste waren immer noch die papierzettel...
TitusTheFox The Oilman Registered: Aug 2004 Location: Oiltown Posts: 1256	21.05.2023 - 08:31 So, ich hab gestern auf mein Samsung S9 LineageOS geflasht, Banking-APPS bis auf die 2FA gelöscht. usability ist auch um einiges besser.

Fehlende SecurityPatches bei "alten" Android Geräten

Forum Index > Hardware > Systeme > Smartphones & Tablets

InfiX

WONDERMIKE

Garbage

InfiX

sk/\r

WONDERMIKE

Guest

InfiX

Garbage

WONDERMIKE

InfiX

Cobase

Viper780

smashIt

TitusTheFox