02.04.2018, 15:01
(Dieser Beitrag wurde zuletzt bearbeitet: 03.04.2018, 12:43 von Bernhard45.)
Hallo zusammen,
seid ungefähr einem Jahr geben einige Antivirenhersteller immer mal wieder aktualisierte Listen mit Smartphones heraus, die bereits ein kompromittiertes, also verseuchtes Android bei Lieferung besitzen. Neben vielen alten und neuen China-Telefonen aus dem Niedrigpreissegment bis 200 Euro findet man auch einige bekanntere Modelle wie:
...
[*]LG G4 -
[*]Samsung Galaxy A5 -
[*]Samsung Galaxy Note 2 -
[*]Samsung Galaxy Note 3 -
[*]Samsung Galaxy Note 4 -
[*]Samsung Galaxy Note 5 -
[*]Samsung Galaxy Note 8.0 -
[*]Samsung Galaxy Note Edge -
[*]Samsung Galaxy S4 -
[*]Samsung Galaxy S7 -
[*]Samsung Galaxy Tab 2 -
[*]Samsung Galaxy Tab S2 -
...
und so weiter. Alle diese Telefone wurden wohl durch einen Drittzulieferer kompromitiert (wo genau ist man sich wohl nicht sicher). Der Schadcode sitzt in Kernelmodulen die sich direkt im ROM des Telefons befinden, bei machen Geräten aber auch nur im Dateisystem (damit leichter entfernbar) und die Schadapps und Adware nachladen können. Ich besitze selbst so ein betroffenes Telefon und kann bestätigen, das das Nachladen von Schadcode auch bei ausgeschaltetem WLAN und Mobilfunkmodus klappt! Warum? Das Android zeigt zwar an das WLAN oder die Mobilfunkverbindung deaktiviert wurde, in Wirklichkeit aber ist Sie es nicht! So können dann schon mal ein paar MB Datenverkehr unbemerkt in beide Richtungen (ins und aus dem Internet) erfolgen. Ein typisches Phänomen kann dabei auch folgendes sein: Als ich ein Telefon neu und versiegelt vom Händler bekommen habe, erblickte ich im Sicherheitsmenü das der Punkt "unbekannte Herkunft" aktiviert war. Das fand ich als Default-Einstellung schon reichlich komisch, habe also den Punkt deaktiviert.
Ein paar Tage später blickte ich erneut in das Menü und der Punkt war wieder "aktiviert" geschaltet.
Ich habe an mir selbst gezweifelt und den Punkt jedesmal wieder deaktiviert. Nach Stunden/Tagen aber wurde die Installationsfreigabe wie von Geisterhand wieder aktiviert. Mir war also klar das hier etwas nicht stimmen konnte. Damals gab es nur vereinzelt Meldungen von einigen verseuchten Android-Compilerchains bei chinesischen Herstellern und das nur wenige Telefone davon betroffen sind. Übrigens lässt man die Einstellung permanent aktiv, geht das Android-System in den nächsten Schritt über und lädt nach Tagen, Wochen oder Monaten zwei Typen von Anwendungen nach:
1. Adware: Hier erhält man dann plötzlich bildschirmfüllende Werbung (Glücksspiele, Pornos, ...) über den Lockscreen ober bei laufender Benutzung. Einstellungen der installierten Webbrowser werden verändert. Praktisch ist die Werbung nur schwer wegklickbar, meist aber genügt ein Neustart um wieder ins Telefon zu kommen und man kann rechtzeitig die neuen "unbekannten" Apps im App-Menü deinstallieren bevor wieder Werbung das Display sperrt.
2. Malware: als Betriebssystemkomponenten getarnt (aber ebenfalls im App-Menü sichtbar) die alles mögliche können. Nach außen hin stören Sie die GUI nicht (man bekommt sie also nicht mit), jedoch haben diese Komponenten Zugriff auf Mikros, Kamera, Kontakte, WLAN, Mobilfunk und so weiter. Mit meinem präperierten Lockvogel konnte ich tatsächlich über die Analyse der WLAN-Pakete festellen, das persönliche Daten aus den Kontakten, Chatprogrammen, SMS und co. in Richtung China abflossen. Auch kann das Telefon Teil eines Botnetzes werden und seine Rechenleistung bösen Buben zu Verfügung stellen. Ob die es dann für das Mining von Bitcoins oder zur elektronischen Kriegsführung einsetzen - who knows? Eine Deinstallation dieser Malware ist wie bei der Adware möglich, jedoch sinnlos wenn man nicht alle paar Stunden auf die oben gezeigte Einstellung achtet. Die Malware kommt wie die Adware wieder, man merkt die Installation nur nicht weil die Apps sich für normale Nutzer stumm verhalten.
Gibt es Lösungen für das Problem? Ja.
Als erste (aber nicht ultimative) Maßnahme könnte man das Telefon im abgesicherten Modus starten. Bei normalen Androidversionen geht das so:
Neustart im abgesicherten Modus
Wenn das Gerät eingeschaltet ist:
Wenn das Gerät ausgeschaltet ist:
Das Telefon lässt dann nur noch Googleapps zu, nach Beobachtungen können nun keine weiteren Apps (Adware oder Malware) nachgeladen werden. Man kann praktisch aber auch nur noch Telefonieren und SMS schreiben, viele andere Sachen sind gesperrt.
WICHTIG!!! Zwar wird jetzt das Nachladen von Code unterbunden, das Betriebssystem ist jedoch immer noch nicht vertrauenswürdig. Diese Lösung sollte also nur als Not- bzw. Übergangslösung betrachtet werden um Apps zu deinstallieren bis man sich ein frisches Android besorgt hat, sofern der Hersteller das nicht erledigen will oder kann. Freie und offene Android-Images für viele Telefone gibt es ja genügend, Google hilft in diesem Fall weiter.
Was braucht man neben einem Androidimage? Ein Datenkabel, in der Regel ja als Ladekabel mitgeliefert und zwei Stück Software. Für den "Marktführer" unter den Android-SoCs bis 200 Euro, Mediatek, gibt es die Software "SP Flash Tool" zum Flashen. https://spflashtool.com/
Welche Geräte einen Mediatek SoC benutzen findet man hier (nicht abschließend):
https://en.wikipedia.org/wiki/List_of_de...iatek_SoCs
Für Samsung-Telefone kann man auch eine Software mit dem Namen "Odin" verwenden.
Zusätzlich zu der Flash Software benötigt man noch die MediaTek USB VCOM - Treiber, für viele Samsung-Geräte gibt es eigene USB-Treiber.
Nachdem Treiber und Flash-Software installiert ist kann das Aufspielen einer neuen Firmware auf das Telefon erfolgen. Eine Step-by-Step Anleitung für Mediatek SoCs nachfolgend.
ACHTUNG: FÜR DAS FLASHEN VON TELEFONEN ÜBERNEHME ICH KEINE VERANTWORTUNG! JEDER MACHT DAS AUF EIGENE GEFAHR !!!
Nach dem Start von SP Flash Tools sieht man folgendes Fenster:
Im Reiter "Download" wird der Download-Agent (i.d.R. MTK_AllInOne_DA.bin) angezeigt, dieser liegt bereits dem Flash-Tool bei. Andere Download-Agents können hinten über den Button "Download Agent" ausgewählt werden, ich belasse es bei dem Default-Wert.
Mit dem Distributionspaket der jeweiligen Androidversion erhält man für sein passendes SoC (also System-On-Chip, siehe Liste oben) eine Scatter-Datei. Diese wählt man über den Button "Scatter-loading" aus. Nach einem kurzen Moment wird links im Telefon die passende SoC-Version angezeigt.
Im dritten Schritt (ich flashe immer alle Speicherbereiche) kann man auf den Download-Button klicken.
Nun wird das (wichtig: vollgeladene!!!) Smartphone mit niedergedrückter Powertaste per USB an den Rechner angeschlossen. Sobald das Telefon von Windows erkannt wird, kann die Powertaste losgelassen werden. Der Flashvorgang des Telefons startet ein paar Augenblicke später. Der Flashvorgang sollte jetzt nicht mehr gestört werden da sonst das Telefon "gebrickt", also ein Briefbeschwerer
wäre und nicht funktionieren würde. Passiert das, kann man das Telefon aber auch wieder "un-bricken".
Nach ein paar Minuten ist der Download des neuen Androids auf das Telefon abgeschlossen, es erscheint folgende Meldung und das Telefon kann vom Rechner getrennt und neu gestartet werden.
Die Nutzung anderer SoC-Flashsoftware erfolgt in der Regel genauso intuitiv und problemlos. Auf dem Telefon läuft nun ein frisches Android was von der Community auf Sicherheitslecks geprüft und gepflegt wird. Auf diesem Wege lassen sich selbst Telefone, die vom Hersteller längst keine Updates mehr bekommen, mit einem neuen Android versorgen.
Hier mein kleines Samsung, der Akku läuft immer noch mehrere Tage. Vom Hersteller aber schon lange aufgegeben, letztes Update von Samsung war auf Android 4.2.1.
Eine viertel Stunde später, läuft das kleine Kerlchen mit einem Android Nougat (7) immer noch recht flott, Oreo (8) ist bereits in Planung und als Beta verfügbar.
ACHTUNG: FÜR DAS FLASHEN VON TELEFONEN ÜBERNEHME ICH KEINE VERANTWORTUNG! JEDER MACHT DAS AUF EIGENE GEFAHR !!!
So das war es erstmal von der Android-Front. Mein Liebling bleibt aber nach wie vor ein altes aber immer noch sehr gut brauchbares iPhone4s mit iOS. Hier hört dann nur Apple über Siri und vielleicht die NSA mit.
seid ungefähr einem Jahr geben einige Antivirenhersteller immer mal wieder aktualisierte Listen mit Smartphones heraus, die bereits ein kompromittiertes, also verseuchtes Android bei Lieferung besitzen. Neben vielen alten und neuen China-Telefonen aus dem Niedrigpreissegment bis 200 Euro findet man auch einige bekanntere Modelle wie:
...
[*]LG G4 -
[*]Samsung Galaxy A5 -
[*]Samsung Galaxy Note 2 -
[*]Samsung Galaxy Note 3 -
[*]Samsung Galaxy Note 4 -
[*]Samsung Galaxy Note 5 -
[*]Samsung Galaxy Note 8.0 -
[*]Samsung Galaxy Note Edge -
[*]Samsung Galaxy S4 -
[*]Samsung Galaxy S7 -
[*]Samsung Galaxy Tab 2 -
[*]Samsung Galaxy Tab S2 -
...
und so weiter. Alle diese Telefone wurden wohl durch einen Drittzulieferer kompromitiert (wo genau ist man sich wohl nicht sicher). Der Schadcode sitzt in Kernelmodulen die sich direkt im ROM des Telefons befinden, bei machen Geräten aber auch nur im Dateisystem (damit leichter entfernbar) und die Schadapps und Adware nachladen können. Ich besitze selbst so ein betroffenes Telefon und kann bestätigen, das das Nachladen von Schadcode auch bei ausgeschaltetem WLAN und Mobilfunkmodus klappt! Warum? Das Android zeigt zwar an das WLAN oder die Mobilfunkverbindung deaktiviert wurde, in Wirklichkeit aber ist Sie es nicht! So können dann schon mal ein paar MB Datenverkehr unbemerkt in beide Richtungen (ins und aus dem Internet) erfolgen. Ein typisches Phänomen kann dabei auch folgendes sein: Als ich ein Telefon neu und versiegelt vom Händler bekommen habe, erblickte ich im Sicherheitsmenü das der Punkt "unbekannte Herkunft" aktiviert war. Das fand ich als Default-Einstellung schon reichlich komisch, habe also den Punkt deaktiviert.
Ein paar Tage später blickte ich erneut in das Menü und der Punkt war wieder "aktiviert" geschaltet.
Ich habe an mir selbst gezweifelt und den Punkt jedesmal wieder deaktiviert. Nach Stunden/Tagen aber wurde die Installationsfreigabe wie von Geisterhand wieder aktiviert. Mir war also klar das hier etwas nicht stimmen konnte. Damals gab es nur vereinzelt Meldungen von einigen verseuchten Android-Compilerchains bei chinesischen Herstellern und das nur wenige Telefone davon betroffen sind. Übrigens lässt man die Einstellung permanent aktiv, geht das Android-System in den nächsten Schritt über und lädt nach Tagen, Wochen oder Monaten zwei Typen von Anwendungen nach:
1. Adware: Hier erhält man dann plötzlich bildschirmfüllende Werbung (Glücksspiele, Pornos, ...) über den Lockscreen ober bei laufender Benutzung. Einstellungen der installierten Webbrowser werden verändert. Praktisch ist die Werbung nur schwer wegklickbar, meist aber genügt ein Neustart um wieder ins Telefon zu kommen und man kann rechtzeitig die neuen "unbekannten" Apps im App-Menü deinstallieren bevor wieder Werbung das Display sperrt.
2. Malware: als Betriebssystemkomponenten getarnt (aber ebenfalls im App-Menü sichtbar) die alles mögliche können. Nach außen hin stören Sie die GUI nicht (man bekommt sie also nicht mit), jedoch haben diese Komponenten Zugriff auf Mikros, Kamera, Kontakte, WLAN, Mobilfunk und so weiter. Mit meinem präperierten Lockvogel konnte ich tatsächlich über die Analyse der WLAN-Pakete festellen, das persönliche Daten aus den Kontakten, Chatprogrammen, SMS und co. in Richtung China abflossen. Auch kann das Telefon Teil eines Botnetzes werden und seine Rechenleistung bösen Buben zu Verfügung stellen. Ob die es dann für das Mining von Bitcoins oder zur elektronischen Kriegsführung einsetzen - who knows? Eine Deinstallation dieser Malware ist wie bei der Adware möglich, jedoch sinnlos wenn man nicht alle paar Stunden auf die oben gezeigte Einstellung achtet. Die Malware kommt wie die Adware wieder, man merkt die Installation nur nicht weil die Apps sich für normale Nutzer stumm verhalten.
Gibt es Lösungen für das Problem? Ja.
Als erste (aber nicht ultimative) Maßnahme könnte man das Telefon im abgesicherten Modus starten. Bei normalen Androidversionen geht das so:
Neustart im abgesicherten Modus
Wenn das Gerät eingeschaltet ist:
- Halten Sie die Ein-/Aus-Taste des Geräts gedrückt.
- Tippen Sie auf dem Display auf das Symbol "Ausschalten" und halten Sie es gedrückt.
- Das Gerät wird im abgesicherten Modus gestartet. Am unteren Bildschirmrand steht "Abgesicherter Modus".
Wenn das Gerät ausgeschaltet ist:
- Drücken Sie die Ein-/Aus-Taste des Geräts.
- Das Google-Logo erscheint auf dem Bildschirm. Wenn die Animation beginnt, halten Sie die Leiser-Tastegedrückt. Halten Sie sie, bis die Animation beendet ist und das Gerät im abgesicherten Modus gestartet wird.
- Am unteren Bildschirmrand steht "Abgesicherter Modus".
Das Telefon lässt dann nur noch Googleapps zu, nach Beobachtungen können nun keine weiteren Apps (Adware oder Malware) nachgeladen werden. Man kann praktisch aber auch nur noch Telefonieren und SMS schreiben, viele andere Sachen sind gesperrt.
WICHTIG!!! Zwar wird jetzt das Nachladen von Code unterbunden, das Betriebssystem ist jedoch immer noch nicht vertrauenswürdig. Diese Lösung sollte also nur als Not- bzw. Übergangslösung betrachtet werden um Apps zu deinstallieren bis man sich ein frisches Android besorgt hat, sofern der Hersteller das nicht erledigen will oder kann. Freie und offene Android-Images für viele Telefone gibt es ja genügend, Google hilft in diesem Fall weiter.
Was braucht man neben einem Androidimage? Ein Datenkabel, in der Regel ja als Ladekabel mitgeliefert und zwei Stück Software. Für den "Marktführer" unter den Android-SoCs bis 200 Euro, Mediatek, gibt es die Software "SP Flash Tool" zum Flashen. https://spflashtool.com/
Welche Geräte einen Mediatek SoC benutzen findet man hier (nicht abschließend):
https://en.wikipedia.org/wiki/List_of_de...iatek_SoCs
Für Samsung-Telefone kann man auch eine Software mit dem Namen "Odin" verwenden.
Zusätzlich zu der Flash Software benötigt man noch die MediaTek USB VCOM - Treiber, für viele Samsung-Geräte gibt es eigene USB-Treiber.
Nachdem Treiber und Flash-Software installiert ist kann das Aufspielen einer neuen Firmware auf das Telefon erfolgen. Eine Step-by-Step Anleitung für Mediatek SoCs nachfolgend.
ACHTUNG: FÜR DAS FLASHEN VON TELEFONEN ÜBERNEHME ICH KEINE VERANTWORTUNG! JEDER MACHT DAS AUF EIGENE GEFAHR !!!
Nach dem Start von SP Flash Tools sieht man folgendes Fenster:
Im Reiter "Download" wird der Download-Agent (i.d.R. MTK_AllInOne_DA.bin) angezeigt, dieser liegt bereits dem Flash-Tool bei. Andere Download-Agents können hinten über den Button "Download Agent" ausgewählt werden, ich belasse es bei dem Default-Wert.
Mit dem Distributionspaket der jeweiligen Androidversion erhält man für sein passendes SoC (also System-On-Chip, siehe Liste oben) eine Scatter-Datei. Diese wählt man über den Button "Scatter-loading" aus. Nach einem kurzen Moment wird links im Telefon die passende SoC-Version angezeigt.
Im dritten Schritt (ich flashe immer alle Speicherbereiche) kann man auf den Download-Button klicken.
Nun wird das (wichtig: vollgeladene!!!) Smartphone mit niedergedrückter Powertaste per USB an den Rechner angeschlossen. Sobald das Telefon von Windows erkannt wird, kann die Powertaste losgelassen werden. Der Flashvorgang des Telefons startet ein paar Augenblicke später. Der Flashvorgang sollte jetzt nicht mehr gestört werden da sonst das Telefon "gebrickt", also ein Briefbeschwerer
wäre und nicht funktionieren würde. Passiert das, kann man das Telefon aber auch wieder "un-bricken".
Nach ein paar Minuten ist der Download des neuen Androids auf das Telefon abgeschlossen, es erscheint folgende Meldung und das Telefon kann vom Rechner getrennt und neu gestartet werden.
Die Nutzung anderer SoC-Flashsoftware erfolgt in der Regel genauso intuitiv und problemlos. Auf dem Telefon läuft nun ein frisches Android was von der Community auf Sicherheitslecks geprüft und gepflegt wird. Auf diesem Wege lassen sich selbst Telefone, die vom Hersteller längst keine Updates mehr bekommen, mit einem neuen Android versorgen.
Hier mein kleines Samsung, der Akku läuft immer noch mehrere Tage. Vom Hersteller aber schon lange aufgegeben, letztes Update von Samsung war auf Android 4.2.1.
Eine viertel Stunde später, läuft das kleine Kerlchen mit einem Android Nougat (7) immer noch recht flott, Oreo (8) ist bereits in Planung und als Beta verfügbar.
ACHTUNG: FÜR DAS FLASHEN VON TELEFONEN ÜBERNEHME ICH KEINE VERANTWORTUNG! JEDER MACHT DAS AUF EIGENE GEFAHR !!!
So das war es erstmal von der Android-Front. Mein Liebling bleibt aber nach wie vor ein altes aber immer noch sehr gut brauchbares iPhone4s mit iOS. Hier hört dann nur Apple über Siri und vielleicht die NSA mit.
Ansprechpartner für Umbau oder Modernisierung von Röhrenradios mittels SDR,DAB+,Internetradio,Firmwareentwicklung.
Unser Open-Source Softwarebaukasten für Internetradios gibt es auf der Github-Seite! Projekt: BM45/iRadio (Google "github BM45/iRadio")
Unser Open-Source Softwarebaukasten für Internetradios gibt es auf der Github-Seite! Projekt: BM45/iRadio (Google "github BM45/iRadio")