HWL News Bot
News
Thread Starter
- Mitglied seit
- 06.03.2017
- Beiträge
- 114.157
... weiterlesen
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Genau das bringt ja nichts. Der zuvor installierte Launcher kann auch bei deaktiviertem "Apps aus fremden Quellen zulassen" runterladen was er will. Deshalb wäre es ja wichtig gewesen, dass der Launcher von Anfang darauf geachtet hätte, dass er die korrekte AKP runterlädt.Ich hoffe doch sehr, dass in der Installationsanleitung von Fortnite für Android groß und fett steht das man die Option danach sofort wieder deaktivieren soll!
Massive Lücke... ohne verwertbares Angriffsszenario hohoho.
Genau das bringt ja nichts. Der zuvor installierte Launcher kann auch bei deaktiviertem "Apps aus fremden Quellen zulassen" runterladen was er will. Deshalb wäre es ja wichtig gewesen, dass der Launcher von Anfang darauf geachtet hätte, dass er die korrekte AKP runterlädt.
Und was hat dein "Szenario" mit der Sicherheitslücke zu tun? Gar nichts, die braucht es dafür ja nicht einmal.
Bei einem Hack des Epic Servers, wie von dir genannt, könnte er prüfen wie er lustig ist, weil man einfach Installer und APK austauscht.Ein Hack der Epic Server und ein Austausch der APK und schon ist das Dingen auf Millionen Android-Geräten.
wo braucht man hier denn noch bitte Fortnite bzw. deren Installer? Das Gerät ist bereits kompromittiert! Und ja, mir ist bewusst, dass es durch diese Lücke eine APK mit gleichem Namen einfach "stillschweigend" und "versteckt" installieren kann.Ist auf dem Smartphone oder Tablet bereits ein Schädling vorhanden, der nach dem Start von Downloads außerhalb des Play Stores Ausschau hält, kann dieser den Befehl kompromittieren und auf ein eigenes Ziel umleiten;
Tatsächlich scheint es Google-intern zwei Vorgaben zum geben, was eventuell noch als Update in die News fließen wird. Generell hält man sich an die 90-Tage-Regel, um Entwicklern die Zeit für Updates zu geben und nicht "Werbung" für die Lücke zu machen. Bei einer Zero-Day-Lücke scheint man aber wohl Ausnahmen zu machen. Aber ja: Google nutzt das natürlich für Werbung für den Play Store aus.Und was hat dein "Szenario" mit der Sicherheitslücke zu tun? Gar nichts, die braucht es dafür ja nicht einmal.
Zumal die ganze Geschichte hier stinkt, vor allem, wenn google sich nicht einmal selbst an seine eigenen Vorgaben zum Veröffentlichen von Sicherheitslücken hält. Hier geht es um schlechte Presse und "Werbung" für den eigenen "sichererer" Appstore, sonst nichts.
Ja und nein. Es stimmt zwar, dass man sich das Problem schon vorher eingefangen hat. Aber erst die Kombination aus beiden Problemen macht die Sache ja gefährlich.Wo ist eigentlich die "massive" Sicherheitslücke, wenn das Gerät bereits kompromittiert sein muss, damit sie ausgenutzt werden kann? Dann ist das Kind doch schon lange in den Brunnen gefallen.
Du hast völlig recht. Android müsste sehr aggressiver darauf hinweisen, wenn die Option aktiviert ist. Aber letztlich ist die Existenz dieser Option ein Preis dafür, dass Android offener als iOS ist.Bitte alles durchlesen was ich geschrieben habe.
Die Lücke ist eh geschlossen, wenn (durch das fehlen in der Anleitung, dass man es danach sofort wieder deaktivieren soll) bei Millionen Smartphones aber die Option immer noch aktiv ist, so ist das eine fast noch größere Lücke. Denn die Lücke im Launcher hat eine App /Schadsoftware auf dem Smartphone benötig. Die Option hingegen ist deaktiviert damit erst gar kein scheiß bei den aller meisten Leuten drauf kommt.
Bei einem Hack des Epic Servers, wie von dir genannt, könnte er prüfen wie er lustig ist, weil man einfach Installer und APK austauscht.