RootSmart: Neue Android-Malware trickst Googles Bouncer aus

> "Bevor man am für nicht gebrachte News kritisiert, sollte man zumindest
> die Suchfunktion bzw. das Archiv benutzen" [Noticed]
Ich habe tatsächlich schon mal danach gesucht, es aber nicht gefunden, habe wohl die falschen Begriffe verwendet. Komisch, die Meldung ging total an mir vorbei, habe dort auch nichts kommentiert. Wenn das so ist, dann bitte ich AM natürlich gerne um Entschuldigung. Einen Fehler sollte man eingestehen.



> "hätte jemand bei umgekehrtem Vorzeichen so argumentiert
> hätte es wieder "Strohmannargumentation" geheißen ;-)" [boca]
Du weißt, was eine Strohmannargumentation ist?



> "Hab nix gegen Kritik- aber gegen zweierlei Maß ;-)))" [boca]
So, dagegen hast du was? Das ist ja interessant...



> "Es geht hier weiterhin um eine Android-Sicherheitslücke" [newPhone]
Ja, darum geht es, ich hatte nur den Eindruck, dass iOS Sicherheitslücken gerne unter den Tisch fallen und wenn es keine Threads dafür gibt und hier der Eindruck erweckt wird, iOS wäre super Sicher, wo soll man dann kommentieren?
Das ich den anderen Thread nicht gefunden und damals übersehen hatte habe ich ja schon erklärt.

Hab mich grad zum Thema ein bisschen schlau gemacht.
Die angesprochene Sicherheitslücke gibt es wohl bei Android bis 2.3.2 die meisten Geräte, die mit 2.3 laufen haben zum Glück meines wissens nach mindestens 2.3.3, wo die Sicherheitslücke nicht mehr existiert mit deren Hilfe Apps externen Code ausführen konnten, was ja normalerweise nicht erlaubt ist.

Offensichtlich kommt diese App Huckepack mit anderen Apps und wird dort quasi mitinstalliert, bisher wurde das aber nur in einem alternativen Appstore gefunden, welcher das ist, hab ich noch nicht rausgefunden, aber im Market war sie noch nicht zu finden. Das steht ja auch schon im Artikel.

Ich weiß nicht wie der Bouncer funktioniert, aber ich denke wenn er ähnlich wie ein Virenscanner funktionert, dann kann Google ja entsprechende Vireninfos einfügen und alle Apps im Market nach dem Code scannen. Wenn dem so ist, dann bringt der Bouncer durchaus etwas.

> Die angesprochene Sicherheitslücke gibt es wohl bei Android bis 2.3.2

Im Artikel steht: "Wie Xuxian Jiang in seinem Blog beschreibt, setzt RootSmart auf dem sogenannten GingerBreak-Root-Exploit auf Android-Smartphones und -Tablets mit den Betriebssystemversionen 2.3.3 Gingerbread bzw. 3.0 Honeycomb auf." Ist das eine Falschinformation, die AM hier verbreitet?


> bisher wurde das aber nur in einem alternativen Appstore gefunden

Stimmt. Aber darum geht es ja nicht zentral. Artikel: "Auf diese Weise umgehe RootSmart beispielsweise das Risiko, von Googles Scan-Tool für den Android Market, Bouncer, entdeckt zu werden." Das Besondere scheint zu sein, dass das Sicherheits-Feature (Bouncer) des Android-Markets diese Malware aufgrund ihres speziellen Aufbaus nicht erkennen würde. Das ist doch die Meldung, nicht, dass es mal wieder irgendeine Malware in irgend einem dunklen Ersatz-Market gibt.


Aber als letzte Ausflucht (nach dem Hinweis, dass es auch Schadsoftware auf anderen Plattformen gibt) bleibt einem ja immer noch die Aussage, dass man trotz der vielen Malwares keinen Menschen kennt, der jemals Probleme damit gehabt hätte und es von daher gar kein Problem gibt. Dass man die meiste Schadsoftware überhaupt nicht bemerken würde, weil gerade das das Ziel ist (um im Hintergrund Daten auszuspähen), wird dabei natürlich ausgeblendet. ;-)

@ NewPhone, Laut Google (genauer Jay Nancarrow) wurde das Exploit, welches Rootsmart nutzt im Mai letzten Jahres gepatcht. So ziemlich jedes Android Device mit GB, welches seit dem Mai2011 ein Update bekam, erhielt dann auch diesen Patch.
Rootsmart selbst, welches diese geschlossene Lücke nutzt, gibt und gab es nicht über den Android-Market. Wer also diese App haben möchte muss nicht nur einen alternativen Market nutzen sondern in den Sicherheitseinstellungen die Installation erst ermöglichen.

Daher kann ich Deine Aussage bzw. Deinen letzten Absatz nicht wirklich nachvollziehen. RootSmart wird von Bouncer nicht gefunden weil es im entsprechend durchsuchten Market von Google nicht existiert. Es muss daher aus anderen Quellen bezogen werden und kann erst installiert werden WENN bewusst eine entsprechende Einstellungen vorgenommen wird. Das Exploit kann es außerdem auch nur nutzen, wenn kein Update seit Mai2011 installiert wurde (selbst das Speed bekam für 2.2.1 zwei Updates nach Mai2011).

Diese Voraussetzungen müssen also gegeben sein und funktionieren nur durch Nutzereingriff. Davor ist keine mobile Plattform gefeit...

> So ziemlich jedes Android Device mit GB, welches seit dem Mai2011 ein Update bekam, erhielt dann auch diesen Patch.

Dann liegt der AM-Artikel also falsch? Das war ja meine Frage.


> RootSmart wird von Bouncer nicht gefunden weil es im entsprechend durchsuchten Market von Google nicht existiert.

Das kam im Artikel anders rüber. Hier wurde behauptet, es würde selbst dann nicht gefunden werden, wenn es im Market verfügbar wäre.

Also ist laut deiner Aussage der komplette Artikel Unsinn? Denn wenn weder stimmt, dass RootSmart auf aktuellen Androiden laufen könnte, noch, dass es Bouncer austricksen könnte, wäre ja die gesamte News hinfällig. Gut zu wissen.

@ Gorki und Newphone

Ich habe eure Kommentare weitergeleitet und sollte es neue Erkenntnisse geben, werden sie an dieser Stelle veröffentlicht. Danke für die Hinweise.

Ok, ich habe ein "nicht" vergessen. Es wäre eindeutiger wenn ich geschrieben hätte: "RootSmart wird nicht von Bouncer nicht gefunden weil es im entsprechend durchsuchten Market von Google nicht existiert." Denn ob Bouncer es finden kann oder nicht finden kann ändert nichts an der Tatsache, das das Tool nicht im Market ist und trotz nicht gefunden werden's durch Bouncer nicht installiert werden kann, weil es eben dort nicht verfügbar ist.

Wenn der Nutzer dieses Tool installieren möchte, dann muss er selbst Hand anlegen um dies zu ermöglichen. Nur aus Neugier und weil das Icon so schön ist und der Name leichtes rooten verspricht (oder was auch immer) wird es also aus eben genannten Gründen nicht möglich sein.

Ich kann auch kein Feuer machen ohne vorher was Brennbares zu haben und selbst dann benötige ich noch irgendein Mittel um das Brennbare zu entflammen ;).

Die Wirkung ist, wenn die Vorausetzungen gegeben sind, ganz sicher richtig beschrieben in dem Artikel. Aber auf die Vorausetzungen dazu hätte man vielleicht genauer eingehen müssen.

@Newsphone

Bitte genau lesen: App steht nicht im Android Market zum Download bereit, sondern wurde in alternativen App-Stores gefunden - steht so auch im Text.

> Denn ob Bouncer es finden kann oder nicht finden kann ändert nichts an der Tatsache, das das Tool nicht im Market ist

Ich glaube, wir haben die Intention der im Artikel enthaltenen Warnung unterschiedlich interpretiert. Während du darauf beharrst, dass es die Malware aktuell nicht im Market gibt (was ja auch nicht behauptet wurde), warnt der Artikel davor (zumindest verstehe ich das so), dass die automatischen Sicherheitsfunktionen des Markets die Veröffentlichung einer App, die diesen Schadcode enthält, nicht erkennen würde und somit jederzeit jemand in der Lage wäre, die Malware dort einzuschleusen. Und um Software aus dem Market zu installieren, musst du Android nicht modifizieren.

Was ist denn jetzt mit den betroffenen Android-Versionen? Stimmt das, was pf gesagt hat oder die Angabe aus dem Artikel?

@Björn

Bitte genau lesen: Der Artikel beschreibt meines Erachtens eine mögliche Gefahr, weil Googles Sicherheitsfeatures versagen WÜRDEN, wenn so eine App im Market landet. Das es aktuell nicht der Fall ist, steht im Artikel und das habe ich auch gelesen/verstanden und habe auch nichts anderes behauptet. Die Intention des Artikels scheint eine Warnung zu sein.

Nachtrag: Ich unterhalte mich, wie ich gerade feststelle, mit dem Autor der News über deren Intention. Er muss natürlich am Besten wissen, was die News versucht, uns zu sagen. Meine Vermutung war halt, dass sie eine Warnung von Xuxian Jiang bzgl. der Fähigkeiten von RootSmart und der Unfähigkeit von Bouncer, ihn zu erkennen, transportieren sollte. So habe ich das verstanden und wenn sie so gemeint war, scheint sie inhaltlich diesbezüglich korrekt.