Ich habe eine gravierende Sicherheitslücke in einer Android App gefunden. Ich habe es dem Hersteller mitgeteilt, Google mitgeteilt. Doch niemand tut etwas. Die App ist einfach weiter dort, die Sicherheitslücke nach wie vor da. Was macht man in einem solchen Fall? Die Sicherheitslücke führt dazu, daß brisante Daten per eMail ungesichert verschickt werden. Vermutlich wurde sie sogar absichtlich vom Hersteller integriert. Google ist es aber egal.
:
Deutscher Hersteller der App? Dann Datenschutzbeauftragten des Bundeslandes des Firmensitzes informieren. Je nach Bundesland geht das dann ganz fix.
Wenn Google bei Microsoft Sicherheitslücken findet, wird ihnen üblicherweise eine 90 Tage Gnadenfrist zur Behebung gegeben, dann wird die Lücke halt veröffentlicht.
Bosse Rosenberg schrieb: > Google ist es aber egal. Wundert mich nicht. Die Mitarbeiter sind entweder überlastet, oder haben keine Lust sich damit zu beschäftigen. Oder diese Sicherheitslücke wird einfach als unwichtig eingestuft.
Im Zweifelsfall: veröffentlichen Ein paar gute Tipps, wie man sowas richtig spielt: https://www.youtube.com/watch?v=7FeqF1-Z1g0
Bosse Rosenberg schrieb: > Bessere Ideen, bitte. Danke. Exploit schreiben und Profit machen. Wenn Dir zu gefährlich: Lücke auf Pastebin posten. Dann übernehmen das andere.
Vielleicht könntest du wenigstens den Namen der App posten, damit wir die löschen können.
PittyJ schrieb: > Vielleicht könntest du wenigstens den Namen der App posten Es ist com.companionlink.clusbsync. https://play.google.com/store/apps/details?id=com.companionlink.clusbsync Es gibt eine Logging-Funktion für den Support. Wird diese eingeschaltet, kann nach Deaktivieren der Log an den Support gesandt werden. In Wahrheit wird aber nicht nur der Log, der tatsächlich nur den Teil enthält, geteilt, sondern auch die komplette Datenbank unverschlüsselt an die eMail-Adresse in Amerika übermittelt.
1. In Kanälen veröffentlichen in denen Nutzer der App aktiv sind (Foren, Mailingliste), dann erreicht es früher oder später den Hersteller. 2. Schreib mal an newstips@heise.de. Auch wenn das wahrscheinlich nicht gross genug für einen Artikel bei Heise sein wird, vielleicht können die mit mehr Erfolg nachhaken.
Andreas schrieb: > 1. In Kanälen veröffentlichen in denen Nutzer der App aktiv sind > (Foren, > Mailingliste), dann erreicht es früher oder später den Hersteller. Der Hersteller hat es ja bereits so implementiert. Würde ich ihn über alle Kanäle warnen, würde er Beweismittel verschleiern.
Beitrag #6199733 wurde von einem Moderator gelöscht.
Bosse Rosenberg schrieb: > Würde ich ihn über > alle Kanäle warnen, würde er Beweismittel verschleiern. Lade doch die aktuelle Version runter und gut, was soll er dann groß verschleiern?
Bosse Rosenberg schrieb: > Würde ich ihn über > alle Kanäle warnen, würde er Beweismittel verschleiern. Beweismittel? Willst du den Hersteller zum Beheben der Lücke bewegen oder einen Rechtsstreit führen? Um alle Beweismittel zu verschleiern, müsste die Lücke ja ebenfalls geschlossen und ein Update an alle ausgerollt werden.
Beitrag #6199754 wurde von einem Moderator gelöscht.
> ... Android App ...
Ist denn Android nicht ein Synonym für Sicherheitslücke? Garantiert das
nicht bereits die Schnüffelfirma Google?
Treumann schrieb: > Ist denn Android nicht ein Synonym für Sicherheitslücke? Garantiert das > nicht bereits die Schnüffelfirma Google? Welches Smartphone OS schlägst du denn vor?
Beitrag #6199763 wurde von einem Moderator gelöscht.
Dieser Beitrag ist gesperrt und kann nicht beantwortet werden.