Security Alert: DroidDream Malware Found in Official Android Market

Security Alert: DroidDream Malware Found in Official Android Market (45 Beiträge, 752 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

http://blog.mylookout.com/2011/03/security-alert-malware-found-in-official-android-market-droiddream/

Na super...
Was macht ein Adroid-Nutzer, der sich zB "Chess" runtergeladen hat ?
Sein Handy wegwerfen ?

Uuund
Wenn ich mir vom Android-Markt was runterlade, dann ist ja wohl Google mein Geschäftspartner, oder ? Schließlich tritt der ja quasi als Reseller von den ganzen Apps auf. Könnte man sich daher an Google wenden ? Schadersatz und so ?

02.03.2011, 18:06 Uhr - Editiert von kombipaket, alte Version: hier

http://www.heise.de/mobil/meldung/Google-entfernt-ueber-50-infizierte-Apps-aus-dem-Android-Market-1200662.html

------

Von meinem ipad gesendet

Ja, Heise schreibt auch darüber...

Was das für Betroffene bedeutet, kann ich nicht rauslesen.

Fakt ist, dass man scheinbar alle Keys, die man auf dem Androiden verwendet hat, nun austauschen muss - und alle Keys, die man in einem Tunnel vom oder zum Androiden übertragen hat

.

Das Android-Teil selbst kann man nun vermutlich nicht mehr als Phone nutzen, nicht mehr als Netzwerk-gerät, ... *ARGL*.

Jetzt werden die sich mal ein Zertifizierungsmodell überlegen müssen. Sein Smartphone per Market abzustechen, ich mein wer braucht denn sowas.

Karawanken

Bär

03.03.2011, 18:08 Uhr - Editiert von Bucho, alte Version: hier

Na super...
Was macht ein Adroid-Nutzer, der sich zB "Chess" runtergeladen hat ?
Sein Handy wegwerfen ?

Original-Firmware vom Hersteller drüberflashen

Wenn das Gerät gerootet war bleibt die Frage, ob das noch klappt bzw. ob die Flash-Funktionalität durch das Phone unterbunden werden kann und der
Nutzer dann nur glaubt, dass es wieder den Werkszustand hat

Zum Flashen muss man sowiso an den Bootloader bzw. an die Recovery-Partition ran.

Die chancen, dass diese dann so verändert wurden, dass der Nutzer nur glaubt er hat geflashed sind in etwa gleich groß, wie die bei einem Windows Virus, dass der Nutzer nur glaubt er hat Format C: mit anschliessender Neuinstallation gemacht, aber in Wahrheit hat es der Virus die Windowsinstallation nur simuliert.

Du hältst es für unwahrscheinlich, dass ein Bootloader durch Malware modifiziert wird ?
DOS-Viren machten das schon in den 80ern

Ich halte es für unwahrscheinlich, dass der bootloader so modifiziert wird, dass du nur glaubst, du hast dein Handy geflashed.
Außerdem ist der Bootloader Handyabhängig, wenn man in modifizieren will muss das Handyspezifisch geschrieben sein, sowas ist nie gut für einen Virus, müsste man dann ja dann auch auf allen handys testen usw...

Außerdem ist der Bootloader Handyabhängig

Das könnte stimmen - ich wäre mir nicht einmal hier sicher (Ich kenne mich leider echt noch nicht mit dem Handy-Bootprozess aus). Wenn der aber ähnlich standardisiert ist wie bei PCs wäre ein Modifizieren des Bootloaders jetzt nicht "die" Herausforderung.

Des weiteren unterstützt ja die Malware das Nachladen von Software aus dem Netz - und hat die Handydaten an einen Server geschickt.

Selbst wenn die Bootloader also komplett unterschiedlich sind - wäre noch immer denkbar, dass i.d.F. die passende Modifikation aus dem Netz geladen wird.

Ein Workflow a la
- Handy sendet "Ich bin ein Galaxy S"
- Server sieht in seinem Repository nach, ob er einen passenden Bootloader hat
- Server schickt einen passenden oder
- Server schickt irgendeinen
- Handy installiert Bootloader
- Handy wird vom Nutzer irgendwann rebootet oder rebootet nach Timeout selbst
- Wenn Handy dann noch ans Netz kommt, meldet es dem Server, dass für dieses Handy der Loader klappt

wäre ja nicht sooo schwierig.

Und der Bootloader wäre ein simpler aber doch sehr guter Punkt für das Unterbringen von Malware... Ich bin mir nicht einmal sicher, ob bei einem Flashen des Handies der Bootloader überschrieben wird oder doch nicht nur "das zu bootende" danach...

Verdammt! Man sollte sich da echt mal einlesen

Ein Android Device hat 3 Bootmöglichkeiten: Fastboot, Recoveryboot, Normal

Fastboot: Der Bootloader stoppt an einem Punkt an dem es ihm möglich ist mittels USB Befehle mit dem sogenanntem fastboot Protokoll entgegenzunehmen.
Typischerweise ist das dazu da um andere Partitionen zu flashen. Mittels eines fastboot behfehles im Computer kannst du ein unsigniertes File in eine beliebige Partition flashen.

Recovery: Der Bootloader ladet einen alternativen Kernel auf einer Recovery-Partition. Dieser hat normalerweise nur eine minimale graphische Oberfläche, und man kann mit diesem alternativen Kernel z.B. sein Hauptsystem updaten, oder auch zurücksetzen.

Normal: Der Bootloader ladet den normalen Kernel und das System startet, mit der Android Oberfläche.

Also wie man sieht geht alles über den Bootloader. (so wie am PC alles über das BIOS geht). Also wenn der Virus irgendwo überleben will, muss er dort rein.
Der Bootloader ist von Gerät zu Gerät unterschiedlich und kann gesperrt oder offen sein. Was genau gesperrt bedeutet ist Herstellerabhängig. Bootloader bzw. Recovery sind für den Kernel nicht sichtbar, theoretisch aber wahrscheinlich wenn man das Gerät (damit also die Speicheradressen) genau kennt veränderbar. Geschafft hat das meines wissens nach noch keiner, für kein einziges Gerät!

Wie gesagt, was ich machen würde: In den fastboot Modus booten, und mittels fastboot die Partitionen auf Orgiginalzustand flashen.
Denkbar wäre es, dass der Bootloader so verändert wurde, dass fastboot zwar funktioniert, aber nicht das tut was ich glaube (also meine Partitionen 1:1 flashen), aber es ist halt auch denkbar, dass an meinem PC das BIOS so manipuliert wurde, dass ich nur glaube ich habe nun neu Installiert.

Ein Bootloader-Virus entspricht am PC effektiv einem BIOS-Virus. Selbst am PC ist sowas denkbar, aber halt unwahrscheinlich. BIOS Viren gab es meines Wissens nach keine funktionierenden, denn diese könnten genauso nur mit einem Tausch des BIOS-Bausteines entfernt werden.

Danke für die Info!

Werde mich echt mal einlesen in den Bootprozess... Thx

Was hast du denn vor? Alle Androids mit dem ultimativen Bootloadervirus lahmlegen :D.
Gibt einige große Probleme dabei, ähnlich wie bei BIOS Viren:

1.) Das ganze ist Gerätespezifisch und nicht einfach zu erweitern, da man detailliertes Wissen über jedes einzelne Telefon (jeden Hardwarechip und wie man ihn ansteuert/initialisiert) braucht. Nur für die Entwicklungsgeräte gibt es bis jetzt erweiterte Bootloader, für den Rest kannst du froh sein wenn es unlocked (S-Off) Bootloader gibt.

2.) Speicherplatz ist einfach zu gering um entsprechende Funktionalität unterzubringen.

3.) HBOOT und ähnliche Bereiche können aktuell aus dem OS heraus nicht beschrieben werden.

Wenn du dich einlesen willst hier noch infos: Das stimmt zumindest bei den aktuellen HTC-Geräten, ist aber nichtmal fix. Also auch Herstellerabhängig und könnte bei jedem Phone in der Zukunft anders sein:

Bootloader = IPL + SPL

IPL - "initial program loader".
Da eine CPU nicht direkt von NAND booten kann (kein random Zugriff auf NAND Speicher möglich, nur sequential), ladet der IPL den SPL in den RAM und führt den entsprechenden Bereich aus. (~2kb)

SPL - "secondary program loader", alle weiteren "höheren" funktionen, init für deine Hardware, kurzer Hardwarecheck, ladet OS, usw.

Aber offensichtlich klappt das ja mit den alternativen Bootloadern...

Ganz kurz habe ich bei einem Kollegen gesehen, dass er im Bootloader zwischen Android und einem anderen OS auswählen kann...

Dass es Gerätespezifisch ist, glaube ich schon. Die Frage ist, _wie_ spezifisch. Ob beispielsweise alle Geräte einer Generation (zB Samsung Galaxy) denselben Loader verwenden und daher dieselbe Modifikation für mehrere Geräte gelten könnte (zB Galaxy 3, Galaxy S, Galaxy Tab, ...).

Einlesen will ich mich da sowieso mal - mal sehen.

Ja, du kannst ja am PC auch ein alternatives BIOS einspielen. Trotzdem gibts keine erwähnenswerten BIOS Viren.

Sobald sich an irgendeinem Hardwarebauteil irgendetwas ändert braucht du einen anderen Bootloader. Also einen Bootloader für Galaxy 3, s, Tab gibts sicher nicht.

Ich würde das Handy neu flashen. Wie das geht hängt vom jeweiligen Gerät ab.

Die Frage, ob Google hier haftet wäre echt interessant. Würde solche zwischenfälle wohl in zukunft minimieren, da dann der Market entsprechend gecheckt werden würde.

Zum flashen: Siehe hier: http://forum.geizhals.at/t743590,6364631.html#6364631

Rechtlich bin ich ja gespannt, ob heise oder andere da was tun... wäre spannend.

warum wirft das wieder derart dunkles Licht auf Android, dass ich vl. doch bei iOS bleibe.....

und ich bin schon knapp vorm Wechsel von iPhone 3GS auf ein Desire HD

mfG Thomas

Auto:

Moped:

tjo - mit einem iPhone wäre das nicht passiert.
Soviel zum freien Markt - Apple überprüft wenigstens die Apps auf sowas.

Da bin ich lieber "gefangen" als das ich mir mein Handy schrotte.

Wie funktioniert das eigentlich bei Apple ?
Muss denen ein App-Entwickler den Source geben ?

Wieviele Apps kommen da jedes Monat rein - respektive wieviel Millisekunden können zur Prüfung einer App verwendet werden ?

Ich _vermute_, dass Apple da die leichtere Position hat - aber dass sie auch nicht davor gefeit sind.

die testen die SW und schauen sich den Code an.
Manchmal vergehen Tage bis die App durch die Prüfung ist.

Kannst ja ihn fragen, der hat einige Apps eingereicht.

Apple testet die Apps im App Store, (vermutlich wesentlich besser als Google das aktuell macht), den Source Code des Entwicklers haben sie aber natürlich nicht.
Sie können nur im übersetzten Code schauen, der Entwickler gibt die Sourcen Apple nicht.

Insofern ist es quasi unmöglich den Virus in einer App zu finden, welche sich den Virus erst zu einem späteren Zeitpunkt über das Internet nachlädt.

Beim iPhone war es möglich über eine Sicherheitslücke im Safari mittels einer angesurften Website das komplette iPhone zu kompromittieren, so funktionierten die Jailbreaks.

http://lifehacker.com/#!316287/jailbreak-your-iphone-or-ipod-touch-with-one-click

Davor war es über eine Sicherheitslücke bei PDFs möglich...

07.03.2011, 01:46 Uhr - Editiert von Joglus, alte Version: hier

http://mobile.slashdot.org/story/11/03/06/202208/Google-Finally-Uses-Remote-Kill-Switch-On-Malware

Danke für den Link...

Wobei ich verblüfft bin:
50 Apps sollen infiziert gewesen sein - und Google löscht nur 21 ???

Hier ein interessantes Faktum:
https://market.android.com/details?id=com.android.vending.sectool.v1&feature=search_result

Dazu habe ich auch das früher gefunden:
http://www.amazon.de/tag/android/forum?_encoding=UTF8&cdForum=Fx15SP5MH4FXXXO&cdThread=Tx2KA8QYCG5577D

Also ich war nicht betroffen, es ging mir trotzdem ums Prinzip...
Google reagierte zwar, aber spät... Und ließ die Betroffenen echt lange im Regen stehen.

Das mit dem "echt lange" sehe ich etwas anders, es waren 5 Tage oder? So eine Software die gepushed werden soll darf ja nicht irgendwie Probleme machen, sonst ist der Aufschrei nur noch schlimmer.
Dazu kommt dass der Virus komplett analysiert werden muss, und Tests müssen gemacht werden usw. Das Ganze ist außerdem der erste Vorfall dieser Art, naja ob es da wirklich Firmen gibt die das wesentlich besser machen könnten?

07.03.2011, 19:24 Uhr - Editiert von Joglus, alte Version: hier

Unter der Annahme, dass eine Malware in 5 Tagen sau viel Schaden anrichten kann (man denke an Mehrwehrt-SMS) - finde ich 5 Tage krass..

Unter der Annahme sind auch 5 Sekunden oder von mir aus 1 Stunde schon krass.
Man kann leider nicht die Annahmen vom möglichen Schaden, sondern nur von dem was bei einer Firma der Art möglich ist abhängig machen.

Eh...

Google hat aber meines Wissens _wirklich_ ausreichend Manpower...

Uuund:
Sie selbst haben keine aktive Informationspolitik gebracht. Wenn man nicht zufälllig bei Heise oder anderen drüberstolpert, merkt man die Gefahr nicht einmal.

Stimmt es, dass du selbst eher weniger mit Programmierprojekten zutun hast? Es sollte sich aber auf fast alle Bereiche im Leben übertragen lassen.

Wenn z.B. 10 Programmierer eine Virenentfernungssoftware in 5 Tagen fertigstellen (programmieren, reviews, tests und rollout), wie schnell sind dann 1000 Programmierer? Du kannst ja nicht annehmen, dass die dann in 1h fertig sind, oder?

Ich versuchs mal mit einem Beispiel:
Jemand hat in einem abgelegenen Ort einen Herzinfarkt, nach den potentiellen Auswirkungen müsste eigentlich jemand in 5 Sekunden vor Ort sein, das geht aber einfach nicht. Egal wieviel Manpower die Rettung hat, ob sie 10 oder 1000 Mitarbeiter hat, selbst wenn Hubschrauber und Düsenjets vorhanden sind.

Edit:
Google hat alle betroffenen per E-Mail verständigt und die Virenbeseitigung für die Betroffenen übernommen. Wo ist das defizit in der Informationspolitik?

08.03.2011, 19:14 Uhr - Editiert von Joglus, alte Version: hier

Google hat alle betroffenen per E-Mail verständigt

Wann ? Quelle ?

Die Quelle ist genau das Post hier:
http://forum.geizhals.at/t743590,6367308.html#6367308

Those users will receive an email notification that states this update will be automatically pushed to their devices. This app will be removed automatically after it has completed running.

Der Link auf die erweiterten Infos funktioniert gerade nicht, ist aber im Google cache:
http://webcache.googleusercontent.com/search?q=cache:skrLHHq_GX0J:market.android.com/support/bin/answer.py%3Fanswer%3D1207928+March+2011+Security+Issue&cd=1&hlrm=de&ct=clnk&gl=at&client=firefox-a&source=www.google.at

Ja, das kannte ich eh damals...

If your device has been affected, you will receive an email from android-market-support@google.com. You will also receive a notification on your device that “Android Market Security Tool March 2011” has been installed.

Das sind aber nur _Absichtserklärungen_. Ich bin bisher über keine einzige bestätigende Meldung gestolpert, dass das auch wirklich passiert ist... Und auch diese Absichtserklärung war einige Tage nach der Infektion.

Bitte, wie?
Da steht konkret was Google machen wird.

Du glaubst das ist nicht passiert wie Google es geschrieben hat?
Was denn davon, die E-Mail oder das Remote löschen? Gibt es Hinweise darauf, dass etwas davon nicht passiert ist?
Ich würde mit einem Aufschrei rechnen wenn das nicht passiert ist wie beschrieben.
Normalerweise gibt es keine Berichterstattung wo steht: "Es ist alles so passiert wie im letzten Artikel beschrieben".

Im Marketlink bedanken sich übrigens User, dass es funktioniert hat. Es sind 56 Bewertungen eingegangen, das Tool hat durchschnittlich 5 Sterne, angezeigt bekommst du nur die deutschsprachigen bewertungen, neben den Sternen steht die Zahl der Bewertungen insgesamt in Klammer.

Ich kann den Tag nicht nennen, an dem die Mail rausgegangen sein soll. DU ? NEIN.

Nein, ich war nicht betroffen und kenne auch niemand der betroffen war.

Ich gehe davon aus, dass der Rollout im Laufen ist, sonst gäbe es wohl keine Bewertungen für die Market-App. Es ist möglich, dass der Rollout noch nicht angelaufen ist, die Details wirds erst in ein paar Tagen geben.

Ich wollte dich nur darauf hinweisen, dass ich dein Statement mit keine aktive Informationspolitik nicht so als richtig betrachten kann, unabhängig von dem Datum der Mail.

Also am 1.3. trat die Meldung auf...
Am 2.3. habe ich sie gelesen.

Seitens google gab es
- _keine_ Hinweise für die Android-Nutzer [keine SMS, kein Mail, keine Benachrichtigung am Device), dass es solche Probleme gibt.
- Viele Benutzer hatten Sorgen - über Tage erhielt keiner einen Hinweis, was er tun sollte [ denkbar wäre zB App deinstallieren, App _nicht_ deinstallieren, Flashen, SIM entfernen, .. ]

Als Heise und andere berichteten, konnten sie auch nicht auf eine Google-Website zu dem Thema hinweisen - sondern nur auf die Liste... Sorry, aber Google war da _schwach_

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung