Neuerdings ist ja mal wieder eine Android Sicherheitslücke bekannt geworden und dann bin ich über diesen Artikel (von gestern) gestossen.
Sicherheit: Etwa 80 Prozent aller Android-Geräte angreifbar (http://www.notebookcheck.com/Sicherheit-Etwa-80-Prozent-aller-Android-Geraete-angreifbar.172032.0.html)
Ein Thema, und zwar die "Fragmentierung" ist nicht neu, seit Jahren liest man immer wieder Artikel dazu. Das war vor ein paar Jahren auch der Grund warum ich von Android weg bin, nach gut einem Jahr gabs keine Updates mehr für mein Smartphone, was dazu mMn dazu geführt hat, dass ich mir nen Virus eingefangen hab. Damals!

Was meint ihr, wirds eher noch schlimmer als besser? Ich denke schon!

While a man in the middle attack is not required here, the attacker still needs to know a source and destination IP address to successfully execute the attack.

:rolleyes: das ist ja quasi MitM

In dem Fall geht es weniger um die Sicherheit des Betriebssystems an sich. Linux und Android haben als einzige RFC 5961 (korrekt) implementiert und da hat man dann rausgefunden, dass das wohl doch nicht so eine gute Idee war.

Jedes andere Betriebssystem wäre auch davon betroffen gewesen, wenn das im TCP-Stack implementiert gewesen wäre. Ironischerweise wäre das wahrscheinlich weniger ein Problem gewesen, wenn Android stärker fragmentiert wäre als es im Moment ist. Mir ist jedenfalls kein Hersteller bekannt, der seinen eigenen TCP-Stack für Android implementiert. Der Kernel ist bei allen Herstellern in der Hinsicht sehr ähnlich.

Worauf du eigentlich anspielst, sind wahrscheinlich die fehlenden Updates der Hersteller. Abseits von Xiaomi, Googles Nexus-Geräten und Samsungs High-End-Geräten sieht es da tatsächlich eher mau aus, auch wenn das nicht so sein müsste. In AOSP werden selbst für Android 4.4 noch regelmäßig Fixes veröffentlicht. Die Fragmentierung ist hier weniger das Problem als der Unwillen der Hersteller ihre Android-Versionen angemessen zu pflegen. Vielleicht auch deshalb, weil es die Kunden gar nicht interessiert. Selbst hier im Forum wird die Sicherheit von Software ja auch oft nur als vages Kaufargument herangezogen und selten gezielt beachtet.

Immerhin können mittlerweile auch viele Komponenten über die Play Services geupdatet werden. Die updatebare WebView ist wahrscheinlich das Beste, was Android sicherheitstechnisch in letzter Zeit passiert ist. Das haben so in der Form weder Apple noch Microsoft. Selbst Android-Geräte, die von ihrem Hersteller keine Updates bekommen, haben so systemweit aktuelle WebViews. Das ändert an den tieferliegenden Problemen ungewarteter Android-Versionen erst einmal nichts, aber der Browser und WebViews als Angriffsvektor sind dadurch schon einmal bedeutend weniger lukrativ als bei anderen Betriebssystemen.

Ich erinnere in dem Zusammenhang mal an die Browser-basierten Jailbreaks für iOS.

Der Link ist eher als Beispiel gedacht, das eigentliche Problem ist eigentlich die extrem große Anzahl von Geräten am Markt die nicht mehr mit Sicherheitsupdates versorgt werden. Der Fehler hin oder her.

Was meint ihr, wirds eher noch schlimmer als besser? Ich denke schon!

Speziell darauf bezogen: Es wird eher besser. Viele sicherheitskritische Komponenten lassen sich mittlerweile unabhängig vom OS updaten. Einige Hersteller wie Honor haben erkannt, dass man auch Sicherheitsupdates ohne Featureupdates anbieten kann. Letztere waren vielen Herstellern in günstigen Geräten nämlich bisher zu teuer.

Zusätzlich werden die Sicherheitsfeatures immer besser. Schon bei Stagefright hat es ein Jahr gebraucht, bis funktionierende Exploits überhaupt möglich waren, obwohl die meisten Android-Versionen nur 32 Bit ASLR hatten. Gut für Leute, deren Smartphone-Hersteller eher zur langsamen Sorte bei Updates gehört.

...

Was meint ihr, wirds eher noch schlimmer als besser? Ich denke schon!

Nicht nur deswegen, wird mein nächstes Handy ein Ubuntu Phone!

Updates werden immer wichtiger, also imo Nexus von Google, ein Apple - oder Ubuntu Phone.
Für viele viel-verkaufte Android-Phones gibt es Custom-ROMs, aber das kann es ja für die Masse nicht sein.

"Preiswert" Handys sind vll in dem Moment preiswert, aber wenn nach 3 Monateen keine Updates mehr kommen, ist es dann wirklich preiswert, wenn man sich alle Jahre ein Neues holt, um software-seitig sicherer zu sein? (Und selbst dass ist ja dann fragwürdig!)

~Bbig

Zusätzlich werden die Sicherheitsfeatures immer besser. Schon bei Stagefright hat es ein Jahr gebraucht, bis funktionierende Exploits überhaupt möglich waren, obwohl die meisten Android-Versionen nur 32 Bit ASLR hatten.

So ist es. Einige der Neuerungen in Android N hat AndroidCentral übersichtlich aufgeführt:

Android 7.0: Security benefits that truly matter (http://www.androidcentral.com/how-android-n-addresses-security)
AndroidCentral.com

Gerade die Stagefright-Angelegenheiten sind damit dann erst einmal vom Tisch, wenn ein aktuelles Android eingesetzt wird.

Dazu die deutlich bessere Abschottung von Apps gegenüber klassischen Desktops. Erst jetzt kommt - eigentlich schon viel zu spät - mit UWP für Windows 10 und Snaps/Flatpak für Desktop-Linux etwas Vergleichbares.

Was meint ihr, wirds eher noch schlimmer als besser? Ich denke schon!
Schlimmer.
Es gibt zur Zeit nur zwei konkurriende Systeme, Android und iOS. Der Rest ist Niesche.
Was Android versucht, ist den Nutzer vor den Klick-Downloads zu schützn. Das ist gut gemeint, kann aber nie zu völliger Sicherheit reichen.

Man hat auf dem Smartphone Markt das geschaffen, was schon auf dem Desktop Markt keine gute Idee war. Ein oder zwei populäre Systeme. Angreifen leicht gemacht.

Das wird sich auch nicht ändern. Daher verzichte ich momentan auf Smartphone, bzw. nutze wieder mein altes Bada Telefon. Das ist unsicher, aber da es eh sonst keiner nutzt..
Ubuntu Phone wäre für mich eine Alternative, wenns eins gäbe, was nicht die Größe eines Klemmbretts hätte.

Was Android versucht, ist den Nutzer vor den Klick-Downloads zu schützn. Das ist gut gemeint, kann aber nie zu völliger Sicherheit reichen.

Seltsame Beurteilung, in der du alle anderen Sicherheitsfeatures unter den Tisch fallen lässt.

Und was der Marktanteil mit der Sicherheit eines Systems zu tun hat, musst du auch erst einmal erklären. Eine gute Sicherheitsarchitektur wird durch einen hohen Marktanteil nicht schlechter.

Das wird sich auch nicht ändern. Daher verzichte ich momentan auf Smartphone, bzw. nutze wieder mein altes Bada Telefon. Das ist unsicher, aber da es eh sonst keiner nutzt..

Badas WebKit benutzen auch viele andere Systeme. Kann man daher schlecht sagen, dass es niemand benutzt, wenn es neben Blink und Gecko eine der am weitesten verbreitete Browser-Engine ist und Bada massiv darauf aufbaut.

Security through Obscurity war noch nie eine gute Idee.

Sicherheitsfeatures hin oder her. Das Problem hat weniger was damit zu tun, was für eine Software auf dem Telefon läuft, sondern wie der Hersteller Sicherheitsupdates an seine Kunden ausliefert. Umfangreiche Software wird immer Sicherheitslücken haben. Zu jeder Zeit, das wird sich nie ändern.

Aber auch der Kunde ist nicht ganz unschuldig, wenn er sich Dumping-Preis Telefone mit beschränktem Support kauft. Man kauft die Langlebigkeit seines Smartphones gleich mit.

Man darf sich jetzt im Endeffekt selbst raussuchen:

- viel Geld ausgeben (>500 EUR) für ein Langzeit-Support Android/iOS Telefon
- sich ein günstiges Telefon öfter kaufen (4-5 x 150 EUR Smartphones für ein iPhone)
- sich ein günstiges Telefon kaufen und mit Sicherheitsproblemen leben
- (nur Android) sich ein günstiges Telefon (oder ältere Modelle) kaufen mit Custom-ROM "Unterstützung"

Ich hock hier auch gerade mit einem 2011 Telefon mit Custom Android 6.0.1, Security-Level 05.08.2016

(nur Android) sich ein günstiges Telefon (oder ältere Modelle) kaufen mit Custom-ROM "Unterstützung"

Ich hock hier auch gerade mit einem 2011 Telefon mit Custom Android 6.0.1, Security-Level 05.08.2016

Finde ich den besten Weg, sogar mein Uralt Galaxy Tab 10.1 welches 5 Jahre alt ist, hat Android 6.01. Die Sicherheitspatch Ebene ist aber noch vom Juni.

Custom Rom setzt offenen Bootloader mit Custom Recovery vorraus und Root ist meist mitgeliefert.. Obwohl ungemein praktisch bezweifle ich dass man hier Sicherheitstechnisch mit vorne dabei ist..

Badas WebKit benutzen auch viele andere Systeme. Kann man daher schlecht sagen, dass es niemand benutzt, wenn es neben Blink und Gecko eine der am weitesten verbreitete Browser-Engine ist und Bada massiv darauf aufbaut.

Security through Obscurity war noch nie eine gute Idee.
Du kennst die Telefone? Das ich damit nicht groß surfe, sollte klar sein.
Mein Weg ist, verzicht zu üben, bis es ein kleines Telefon gibt abseits des Mainstreams.

Ansonsten hat Ganon schon den Rest deines Textes gut beantwortet. Klar kann man ein System sehr gut abschotten. Aber dennoch ändert das nichts daran, dass es immer Sicherheitslücken geben wird.

Custom Rom setzt offenen Bootloader mit Custom Recovery vorraus und Root ist meist mitgeliefert.. Obwohl ungemein praktisch bezweifle ich dass man hier Sicherheitstechnisch mit vorne dabei ist..

Ich kenne jetzt nur CyanogenMod und dort ist root im Standard aus und muss erst in den Entwickler-Optionen aktiviert werden, welche man ebenfalls erst aktivieren muss.

Aber allgemein ist die Custom-ROM Variante jetzt natürlich nicht die massenmarkttauglichste, aber wenn man sich prinzipiell sowas zutraut kann man ganz viel Geld sparen.

Der Bootloader muss aber offen sein und das ist je nachdem ob man wichtige Dinge auf seinem Smartphone hat so der worst-case wenn jemand anders physikalischen Zugang hat... oft wird bei Sicherheitslücken ein riesen Fass aufgemacht die aber für den normalen User allein durch die Wahrscheinlichkeit eines Angriffs absolut unbedenklich sind (siehe Link im Start-Post), sowas wie Stagefright mal ausgenommen.

Wenn dann noch sowas passiert
https://www.heise.de/security/meldung/Kardinalfehler-Microsoft-setzt-aus-Versehen-Secure-Boot-schachmatt-3291946.html
is sowieso essig ;D

Klar, bei Hardwarezugriff müssen ganz andere Sachen ran. Aber nur weil der Bootloader geschlossen ist, heißt das nicht, dass man nicht an deine Daten vom Handy kommt.

Es geht mehr um die "alltäglichen" Lücken durch die sich per Webbrowser und Co. einfach mal Adware oder schlimmeres in dein Handy einschleichen kann

Ich kenne jetzt nur CyanogenMod und dort ist root im Standard aus und muss erst in den Entwickler-Optionen aktiviert werden, welche man ebenfalls erst aktivieren muss.
Nicht nur bei CyanogenMod, root ist standardmäßig aus. :wink:
Bei denen* welche ich alle kenne wird zum Beispiel SuperSu noch benötigt um überhaupt wieder root Rechte zu bekommen. *Custom Roms

Aus aktuellem Anlass: iPhone User sollten unbedingt updaten:

Apple Software Vulnerability Is Linked to Intrusions (http://www.nytimes.com/2016/08/26/technology/apple-software-vulnerability-ios-patch.html)
The New York Times

The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender (https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/)
Citizen Lab (voller Report zu den Schwachstellen und Hintergründen)

Gerade bei Tagesschau.de gesehen:
http://www.tagesschau.de/wirtschaft/apple-spionageprogramm-101.html

Erschreckend!

Kein Betriebssystem ist 100% sicher. Apple hat genau so seine Probleme wie Android und Windows sowieso.

Der einzige Weg das zu mildern, ist der Weg von Windows und Android. Regelmäßige Prüfung und schließen von Lücken.

Die Frage ist daher eher, wie schlimm sind die Lücken und wie wahrscheinlich werden die von einem Staat oder einer Gruppe Krimineller genutzt. Da sehe ich eher den Staat als geringeres Übel an...

Moment.. hier sollte man nicht relativieren. Das Teil ist ein untethered Jailbreak, sowas darf 2016 nicht mehr passieren, auf keinem Phone. Das ist ganz harter Tobak..

Also wenn ich das richtig lese sind die Lücken seit mindestens 11. Mai bekannt. Wir haben August!

https://support.apple.com/en-us/HT207107
CVE-2016-4655: Citizen Lab and Lookout

-> http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2016-4655

Date Entry Created: 20160511

Man kann hier echt nichts verharmlosen. Das hätte im Mai längst gefixt sein müssen!

edit:
Alles mit Links und Quotes versehen.

Also wenn ich das richtig lese sind die Lücken seit mindestens 11. Mai bekannt. Wir haben August!

https://support.apple.com/en-us/HT207107


-> http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2016-4655



Man kann hier echt nichts verharmlosen. Das hätte im Mai längst gefixt sein müssen!

edit:
Alles mit Links und Quotes versehen.

Habe das jetzt nicht verifiziert. Entweder hat Apple Däumchen gedreht (= sehr übel) oder der Fix war kompliziert und hat seine Zeit gebraucht.
Woher kursieren die 14 Tage, die in manchen News genannt werden?

Es wird übrigens vermutet, dass ähnliche Software noch aktiv ist (Blackberry/Android).
„NSO marketing material says that it also has capabilities for Android and BlackBerry devices. No version of the software has been exposed, indicating it remains effective.“
http://www.reuters.com/article/us-apple-iphone-cyber-idUSKCN1102B1

Ich denke mal die sicherste Alternative ist ein uralt Mobil Phone ala Nokia 3310.

Also wenn ich das richtig lese sind die Lücken seit mindestens 11. Mai bekannt. Wir haben August!
An dem Datum wurden die Nummern reserviert, das kann man machen.
Die Luecke muss daher nicht zwangslaeufig seit Maerz bekannt gewesen sein, auch wenn der Verdacht naheliegt... Vielleicht reserviert man sich als so ein Unternehmen einfach mal einen Batzen der Nummern, damit sie schoen beieinander liegen ;D

Edit: OK, offenbar wurde die Software schob seit 2 Jahren gehandelt...

Ich denke mal die sicherste Alternative ist ein uralt Mobil Phone ala Nokia 3310.
Um ganz sicher zu gehen, dass man auf jeden Fall abgehört wird? :ulol: GSM war in der Hinsicht nie wirklich sicher, das ist überhaupt nicht vergleichbar mit verschlüsseltem Datenverkehr im Internet.
Eine Schreibmaschine ist bestimmt auch "sicherer" als ein Computer, Briefe abfangen ist troztdem easy. Und man kann mit der Schreibmaschine heute halt nichts mehr wirklich anfangen :rolleyes:

An dem Datum wurden die Nummern reserviert, das kann man machen.
Die Luecke muss daher nicht zwangslaeufig seit Maerz bekannt gewesen sein, auch wenn der Verdacht naheliegt... Vielleicht reserviert man sich als so ein Unternehmen einfach mal einen Batzen der Nummern, damit sie schoen beieinander liegen ;D

Edit: OK, offenbar wurde die Software schob seit 2 Jahren gehandelt...

Naja, der Punkt ist eben nach wie vor unklar bzw. bleibt offen.



Die iOS-Spyware Pegasus – eine Bestandsaufnahme
http://www.heise.de/security/artikel/Die-iOS-Spyware-Pegasus-eine-Bestandsaufnahme-3305780.html

Ich denke mal die sicherste Alternative ist ein uralt Mobil Phone ala Nokia 3310.

Für das Baseband wird sicher jede Regierung mittlerweile Exploits bereitstehen haben. AFAIK ist kein Baseband so gut von Dritten verstanden worden wie das einiger alter Nokias.

Ansonsten ist GSM natürlich auch vollkommen unsicher und wird durch die Vorrastsdatenspeicherung abgegrast. Die Hacks im Mobilfunknetz sollten doch mittlerweile bei jedem angekommen sein. IMSI-Catcher sind ja auch nicht neu und billig selbst zu bauen.

Android: protecting the kernel (Slides vom 26.08.2016) (https://events.linuxfoundation.org/sites/events/files/slides/Android-%20protecting%20the%20kernel.pdf)
Linux Foundation/Google

Überraschung: Ein großer Haufen Sicherheitslücken lässt sich auf die proprietären Treiber der Hardwarehersteller zurückführen. Wer hätte das gedacht?

http://www.golem.de/news/exploits-treiber-der-android-hersteller-verursachen-kernel-luecken-1608-122936.html

Make Android Safe Again:

Keeping Android safe: Security enhancements in Nougat (https://android-developers.blogspot.de/2016/09/security-enhancements-in-nougat.html)
Android Developers Blog

VUSec haben ihren Rowhammer-Bug mit Stagefright kombiniert. Dadurch können sie aus der Ferne per Stagefright Code ausführen und mit Rowhammer Root-Rechte erlangen.

Blogpost: https://www.vusec.net/projects/drammer/

Video:
0pV-Q9Q5s4Q

Bis auf das LG G4 sind scheinbar alle bisher getesteten Geräte mit 64-Bit-Android nicht davon betroffen.

Interessantes Detail: Rowhammer ist keine Sicherheitslücke der Software, sondern ein Fehler der Hardware.

Interessantes Detail: Rowhammer ist keine Sicherheitslücke der Software, sondern ein Fehler der Hardware.

Wohl mehr ein Fehler des Hardware Konzeptes von heutigem DRAM. Rowhammer betrifft ja alles Systeme, alle Plattformen faktisch gleichermaßen.

Speicherhersteller sollten mal endlich reagieren und wenn sie nicht ein besseres Design hinbekommen, dann sollte eben konsequent auf Hersteller und Vermarktung von ECC Speicher gesetzt werden.

Rein vom Vektor des Angriffs dürfte ein iPhone aber das weit gefährdetere Gerät sein. Weil die Hardware Monokultur es den Angreifern deutlich erleichtert.

ECC RAM verhindert den Angriff aber nicht, macht ihn nur schwieriger. ECC RAM behebt nur 1bit-Fehler und erkennt 2-3bit Fehler, kann dagegen aber nichts tun.

Intel hat aber wohl bereits ein entsprechendes Patent (habe?eingereicht?kA?), was Rowhammer Angriffe im RAM erkennt und entsprechende Gegenmaßnahmen einleitet. -> https://www.google.ch/patents/US9117544

Übrigens kann man auch Softwareseitig was tun. Im Linux-Kernel sind bereits entsprechende Patches, sodass für den Angriff überhaupt erst mal Root-Zugriff vorhanden sein muss, damit er "in ein paar Sekunden" fertig ist und nicht Tage braucht. Aber das hilft dem völlig veralteten Android-Ökosystem natürlich nicht.

Braucht man meistens auch gar nicht. Das durchschnittliche Android-Telefon dürfte offen wie ein Scheunentor sein.

Es werden doch einzelne Bits gekippt. Eins nach dem anderen. Dieses Szenario sollten doch durch ECC korrigiert werden :confused:

Mir ist kein Rowhammer Szenario bekannt, welches erfolgreich gegen ECC Speicher geführt wurde. Weil eben nur einzelne Bits kippen.

PAX ist doch längst integriert in Android, inkl. Packports.

Es werden doch einzelne Bits gekippt. Eins nach dem anderen. Dieses Szenario sollten doch durch ECC korrigiert werden :confused:

Mir ist kein Rowhammer Szenario bekannt, welches erfolgreich gegen ECC Speicher geführt wurde. Weil eben nur einzelne Bits kippen.

PAX ist doch längst integriert in Android, inkl. Packports.

ECC korrigiert aber erst beim Auslesen. Das soll jetzt nicht heißen, dass ECC-RAM wertlos ist. Es hilft schon gegen die Attacke, macht ihn in der Theorie aber nicht immun dagegen. Genau wie jetzt hier mit Android hat sich halt vorher keiner großartig damit befasst.

Und das entsprechende Features in Android drin sind, schön und gut, wenn die nicht beim Anwender landen dann bringt das nichts. Der Rowhammer-Erschwerungs Patch kam mit Kernel 4.0. Ich glaube kaum, dass alle Hersteller anfangen Kernel 4.0 Features in ihre 3.x Kernel zurückzuportieren, wenn sie nicht mal 08/15 Sicherheitsupdates ausliefern können.

Na ja. Rowhammer auf Geräte mit ECC Speicher wurde wohl schon ziemlich viel unternommen. Zumal x86 wegen Clflush eh für Rowhammer prädestiniert schienen.
Du meinst ein Szenario, in welchen mehrer Bits (mehr als 3) nacheinander, oder zusammen geflippt werden, noch bevor diese das erste mal gelesen werden. Ich habe von keinem Fall gelesen, wo dieses funktioniert haben soll.
Da es sich ja um einen Designfehler der Speicherhersteller handelt, ist solch ein Ansatz der auf einen Fehlverhalten basiert eh nie auszuschließen.
Eine breite Basis gleichartiger verbauter Komponenten ist halt ungemein förderlich.
Die Backports werden ja von der OHA angeboten, zweifelsfrei werden aber auch diesen nicht alle Hersteller integrieren, andere Hersteller tun es dagegen. Letztendlich entscheidet der Käufer, was ihm wie viel Wert ist.

Naja, aber selbst Samsung kriegt es nicht auf die Reihe alle ihre Geräte zu patchen. Monatliche Updates kriegst du nur auf aktuellen Flagship-Telefonen. Alle anderen Geräte (Tablets und günstigere Telefone) dümpeln, selbst wenn sie bereits Android 6 haben, noch auf Sicherheitsstand von Juli oder früher rum.

Ich denke die Frage ist nicht die Richtige, die sollte nämlich lauten, weshalb ist es so wie es ist?

Weil es keinen wirtschaftlichen Vorteil bedeutet, es bedeutet keinen wirtschaftlichen Vorteil, weil es kein realistisches Sicherheitsproblem und damit entsprechend zu bewertendes unternehmerisches Risiko gibt. (für den Hersteller)

Das System ist auch so hinreichend robust, die Anwendungsupdates hinreichend aktuell.
Die Leute sind ja nicht blöd, sie entscheiden auf Basis einer Faktenlage und diese bedeutet praktisch, "Ich brauch den theoretischen Aspekt nicht mit bezahlen".
Das ist auch ein ganz pragmatischer und legitimer Ansatz, bis zum Beweiß des Gegenteils. Wer darüber hinaus einen Anspruch hat, zahlt darüber hinaus und bekommt auch darüber hinaus.

Die Leute sind ja nicht blöd, sie entscheiden auf Basis einer Faktenlage und diese bedeutet praktisch, "Ich brauch den theoretischen Aspekt nicht mit bezahlen".

Ein Großteil der 0 8 /15 Smartphoneuser dürfte überhaupt nicht klar sein, was Sicherheitslücken anrichten können und warum Updates so wichtig sind. Ich behaupte mal, dass solche Überlegungen da nicht sonderlich groß reinspielen...

Das ist auch ein ganz pragmatischer und legitimer Ansatz, bis zum Beweiß des Gegenteils. Wer darüber hinaus einen Anspruch hat, zahlt darüber hinaus und bekommt auch darüber hinaus.

Zwei Probleme gibt es aber: Die meisten Leute können dabei nicht so einfach nach Fakten entscheiden. Gerade bei Rechnersicherheit ist es für weniger versierte Nutzer nahezu unmöglich, überhaupt beurteilen zu können, wie sicher ein Rechnersystem ist. Die meisten Leute können nicht einmal für sich klar definieren, was Sicherheit überhaupt ist. Selbst viele technisch versierte Leute haben damit Probleme.

Zweitens glaube ich nicht, dass Rechnersicherheit etwas ist, was wir einfach mal so den Märkten überlassen können. Einmal weil wir damit unsere eigene Infrastruktur gefährden (durch z.B. DDoS-Angriffe) und eben, weil man ohne Rechnersicherheit auch keine Privatsphäre erwarten kann und Privatsphäre ein Grundrecht ist. Rechnersicherheit darf also nicht Besserverdienenden vorbehalten sein. Eigentlich müssten gerade bei so fertigen Produkten wie Smartphones besonders strikte Auflagen gelten.

Klar, selbst Rowhammer ist für viele Leute nicht wirklich relevant, weil der Play Store wahrscheinlich dagegen eine statische Analyse von Binaries durchführen und entsprechend entfernen wird, aber es ist eben auch bedenklich, dass wir so etwas an Unternehmen wie Google „outsourcen“. Ich kann nur immer wieder sagen: Google hat zwar viel Ahnung von Sicherheit, aber wir als Gesellschaft sollten uns nicht von privaten Unternehmen abhängig machen, wenn es um unsere Grundrechte geht. Kann immer sein, dass Google mal in einem moralischen Konflikt steht und vielleicht manche Lücken nicht so wichtig findet. Was dann?

Das sind so Fragen, die man eigentlich vor 15 - 20 Jahren hätte klären müssen.

Man würde entsprechende Gesetze wohl nie durchkriegen. Die Hersteller haben vom SoC bis hin zum Geräteanbieter einfach kein Interesse an der Sicherheit ihrer Geräte. Beim fehlenden Interesse der SoC Hersteller neuere Kernel zu unterstützten fängt es an und von oben bis unten gesperrte Geräte des Anbieters hört es auf.

Wie willst du jetzt einen SoC Anbieter aus China dazu kriegen auf deutsche oder EU Gesetze zu hören? Dann gibt's die Geräte hier einfach nicht mehr und die Bevölkerung steigt dir auf's Dach weil sie blöd sind...

Das Problem wird vermutlich nie verschwinden, außer Intel oder AMD schafft es mal einen sparsamen SoC auf den Markt zu werfen und man bekommt ein Telefon mit EFI oder Coreboot.

Man würde entsprechende Gesetze wohl nie durchkriegen. Die Hersteller haben vom SoC bis hin zum Geräteanbieter einfach kein Interesse an der Sicherheit ihrer Geräte. Beim fehlenden Interesse der SoC Hersteller neuere Kernel zu unterstützten fängt es an und von oben bis unten gesperrte Geräte des Anbieters hört es auf.

Wie willst du jetzt einen SoC Anbieter aus China dazu kriegen auf deutsche oder EU Gesetze zu hören? Dann gibt's die Geräte hier einfach nicht mehr und die Bevölkerung steigt dir auf's Dach weil sie blöd sind...

Deshalb sag ich ja, das hätte man vor vielen Jahren lösen müssen. Das jetzt im Nachhinein irgendwie zu lenken ist praktisch unmöglich. Da sind so viele Baustellen, dass das ewig dauern würde die Situation komplett in den Griff zu bekommen, selbst wenn man morgen anfängt. Man müsste erst einmal mit der Schadensbgrenzung anfangen.

Das Problem wird vermutlich nie verschwinden, außer Intel oder AMD schafft es mal einen sparsamen SoC auf den Markt zu werfen und man bekommt ein Telefon mit EFI oder Coreboot.

Ich glaube ARM wird man so in der Masse nicht mehr ersetzen können. So wie ich das verstehe, arbeiten einige Leute am Linux-Kernel wenigstens daran, dass man auch einen generischen Kernel auf vielen ARM-Chipsätzen benutzen kann. Ich will mir aber gar nicht vorstellen, was das für ein Aufwand ist. Ist aber wahrscheinlich der einzige Weg.

Es ist schon irgendwie ironisch, dass es für die meisten Smartphone-Hersteller nie einfacher war ein ziemlich sicheres OS auf ihren Smartphones mit extrem geringem Aufwand zu pflegen und gleichzeitig so wenig Interesse daran besteht.

Ich mein, was muss ein Hersteller dafür machen? AOSP pflegt alte Versionen wortwörtlich Jahre. Qualcomm pflegen ihre Treiber wie lange? Drei Jahre? Theoretisch könnten die Hersteller selbst im Low End einfach ein Gerät mit einer festen Android-Version bringen, nie ein Major-Upgrade einpflegen und diese eine Version einfach drei Jahre mit Sicherheitspatches versorgen. Kann mir niemand sagen, dass das ein großer Aufwand ist, einfach die Änderungen aus AOSP gegen ihre Codebasis zu mergen, wenn sie sich sowieso nah an AOSP halten. Die Patches müssen sie ja nicht einmal selbst entwickeln. Das schaffen einige Leute im XDA-Form am Wochenende in ihrer Freizeit und liefern dabei teilweise sogar bessere Arbeit ab als die Hersteller selbst.

Ein Kommentar zur Sicherheit von Android durch die OEMs: https://medium.com/@wimbet/no-one-cares-about-the-security-of-your-unlocked-android-phone-cd8ad4aae4c5#.beuorc5ww

“BLU claims they have no security department and cannot assist.”

[…] To put it simply, Google’s CTS can’t detect vulnerabilities it doesn’t know about. Apparently Mediatek is a repeat offender when it comes to evading Google’s CTS tests, and some in the computer security industry have called them the worst chipset vendor when it comes to security measures.

Die gesamte Haltung der Industrie gegenüber Sicherheitslücken ist einfach falsch. Einer der Gründe, warum man das Problem mit Google als Softwaresicherheitsweltpolizei nicht lösen können wird. Die Hersteller müssen einfach erkennen, dass so etwas einfach nicht geht. Wenn die schon aktiv versuchen Sicherheitstests zu umgehen, dann läuft etwas fundamental schief.