KDE Connect, Fedora und Android 4+

„Das Gerät kenne ich nicht!“ meinte KDE-Connect nach dem Update von Fedora 32 auf Fedora 33. Glatt gelogen.

KDE Connect, Fedora und Android 4+

Wer KDE-Connect auf einem älteren Android fährt, wird mit Fedora 33+ einen Schock erleiden, weil sich Desktop und Telefon nicht mehr sehen können. Wenn man der Sache mit Hilfe von TCPDUMP nachsteigt, dann sieht man eine 1a Kommunikation, wenn eins der beiden Geräte die Suche startet. Das macht es nicht gerade einfacher 😉

Mit Fedora 33 wurde u.a. SHA1 aus der Security-Policy gestrichen, weil total veraltet. Leider kann so ein älteres Android kein SHA256 und da ist die Geschichte schon zu Ende, oder doch nicht?

Ein Update von KDE-Connect auf 1.17 bringt jedenfalls keine Lösung, da auch diese Version die Android Build-in Cryptoroutinen benutzt. Vielleicht kann man ja auf der Fedoraseite was drehen? Und Ja, man kann:

sudo update-crypto-policies –set DEFAULT:FEDORA32
killall kdeconnectd

Fertig. Jetzt noch die Ansprache: „Für etwaige Hacks von Ihrem PC durch das Reduzieren der Sicherheitsanforderungen sind Sie selbst verantwortlich.

BleedingTooth: Remote Code Execution in BlueZ Kernelstack

Kritische Sicherheitslücke im Bluetooth-Stack von Linux und Android entdeckt. Bluetooth eingeschaltet zu haben, reicht aus um angreifbar zu sein.

BleedingTooth: Remote Code Execution in BlueZ Kernelstack

Kritische Sicherheitslücke im Bluetooth-Stack von Linux vor Kernel 5.9 entdeckt. Der Fix wurde am 29.9. bereits heimlich in einen Kernel Branch eingepflegt und wartet seitdem auf den Merge in den Hauptkernel. Erst für Kernel 5.9 war das der Fall, so daß derzeit alle Geräte die mit Linux angreifbar sind, bis auch dort Backportpatche verfügbar sind.

Gefunden hatten diese Lücken Intel ( „Intel – wie konnte das passieren, die finden doch sonst nichts“ )  und Google. Bei Google kann ich das verstehen, die verdienen damit Geld, aber Intel? 😉

Also RCE, Remote Code Execution, und das auch noch ohne Anmeldung. Meint: Jedes Gerät mit aktiviertem Bluetooth in der Nähe ist angreifbar, nur weil es da ist. BleedingTooth ist dabei nicht nur eine Lücke, sondern ein ganzes Sammelsurium an Schwachstellen, die kombiniert, den RCE mit Privilegien Eskalation erlauben.

Bis auf weiteres: BlueTooth abschalten!

Quellen:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html

https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq  ( Die erlaubt die Code Ausführung )

 

Unerklärlicher Zählfehler in Android Mailprogramm

Schock am Morgen: Unerklärlicher Zählfehler in Android Mailprogramm

Schock in der Morgenstunde. Beim Sichten der Statusmails gab es Diskrepanzen zwischen zwei Anzeigen. Wenn so etwas in einem Emailprogramm auftritt, ist meistens was ganz komisches los. Da muß man dann checken, ob man überhaupt alles sieht, oder ob einige der Emails nie da waren.

Android Emailprogramm hat sich verzähltIch habe dann von Hand nachgezählt, die Anzeige Rechts (23) hatte Recht, die Linke (19) hatte sich verzählt.

Wie man dabei einen Bug in ein Emailprogramm basteln kann, entzieht sich mir aber gründlich 😀

Leider wird das Programm nicht mehr weiterentwickelt, auf einen Bugfix hofft man also vergeblich, zumindest für diese Androidversion.