SRL hält heute auf der hitbCONF (https://conference.hitb.org/hitbsecconf2018ams/sessions/mind-the-gap-uncovering-the-android-patch-gap-through-binary-only-patch-level-analysis/) einen beitrag darüber, dass manche Gerätehersteller von Android-Smartphones die von Google bereitgestellten Patchpakete nicht, oder nur teilweise, einspielen und dabei trotzdem das Patchlevel-Datum erhöhen:
https://srlabs.de/bites/android_patch_gap/

Prinzipiell kann das bedeuten, dass die Hersteller die entsprechenden Funktionen in ihren Geräten einfach nicht anbieten und daher auch die Patches nicht einspielen, es kann aber auch bedeuten, dass hier der Aufwand der OEMs deutlich zulasten der Sicherheit reduziert wird und einfach (z.B.) alles rausfliegt, was Probleme macht/machen könnte.

ist doch schon lange bekannt. abgesehen davon:

Smartphone-Sicherheit: Android ist besser als sein Ruf (SPON) (http://www.spiegel.de/netzwelt/gadgets/warum-android-besser-ist-als-sein-ruf-smartphone-sicherheit-a-1202171.html)

Es ist unwahrscheinlich, dass etwas auf der hackinthebox präsentiert wird, das "schon lange" bekanntist ("schon lange" heißt für mich mehrere Jahre, zumindest Monate) ;).
Aber ich lasse mich durch eine Quelle gerne belehren.

Bei LineageOS war das bekannt (Probleme mit Backports etc.), aber bei den ROMs der OEMs ist das so bisher noch nicht bekannt gewesen.

Nur ein weiterer Sargnagel...

ist doch schon lange bekannt. abgesehen davon:

Smartphone-Sicherheit: Android ist besser als sein Ruf (SPON) (http://www.spiegel.de/netzwelt/gadgets/warum-android-besser-ist-als-sein-ruf-smartphone-sicherheit-a-1202171.html)
Ach, das mit dem 11-Chain-Exploit ist doch auch nur PR:
More technically accurate: One particular chain used 11 bugs because they chose a logic-bug-only chain. That does not imply 11 is a minimum; it is safe to assume much shorter chains are around.
https://twitter.com/halvarflake/status/983302309219393536

Na mal gucken was sie berichten. Ist bisher alles etwas seltsam:
https://www.golem.de/news/sicherheitspatches-hersteller-von-android-smartphones-gaukeln-sicherheit-vor-1804-133818.html


Die Sicherheitsforscher von Security Research Labs betonen, dass die aktuellen Erkenntnisse nicht unbedingt bedeuten müssen, dass Geräte besonders anfällig für Angriffe sind.
[...]
Ein anderer Grund ist, dass manche Sicherheitslücken im Prozessor selbst stecken und der Gerätehersteller darauf angewiesen ist, dass der Prozessorhersteller Patches anbietet. Hier ist Mediatek oft dabei, wenn es darum geht, dass diese nicht bereitgestellt werden.
[...]
Google hat bereits auf die Untersuchungsergebnisse reagiert und weist darauf hin, dass einige der getesteten Geräte nicht von Google zertifiziert seien. Manchmal fehle ein Patch deshalb, weil der Gerätehersteller sich entschieden habe, die betreffende Funktion nicht zu unterstützen oder ganz abzuschalten, anstatt einen Patch bereitzustellen.


In tl;dr: Es fehlen zwar teilweise Sicherheitsupdates, aber es ist gar nicht gesagt, dass die entsprechende Sicherheitslücke überhaupt ausgenutzt werden kann (weil deaktiviert oder gar nicht installiert).

Dass die Hersteller ihre Update-Politik überarbeiten müssen ist aber klar. LG will damit jetzt anfangen (https://www.heise.de/newsticker/meldung/LG-verspricht-schnellere-Android-Updates-4023978.html). Mal schauen. Android 8 macht das ja auch leichter.

Dass die Hersteller ihre Update-Politik überarbeiten müssen ist aber klar. LG will damit jetzt anfangen (https://www.heise.de/newsticker/meldung/LG-verspricht-schnellere-Android-Updates-4023978.html). Mal schauen. Android 8 macht das ja auch leichter.
Mir fehlt der Glaube. Android 8 haben selbst viele willige Hersteller noch nicht ausgeliefert, da es scheinbar ordentlich verbuggt ist.

Von Google kommen auch nur Durchhalteparloen. Die Fragmentierung steigt immer weiter an statt weniger zu werden. Das Android 8, mit dem alles besser werden sollte, ist 8 Monate nach Release auf weit unter 5% der Geräte installiert. Ich glaube ohne Clean Cut mit einem neuen System wird das nichts mehr...

Nach Android P müssen die Hersteller übrigens Geräte mit Treble ausliefern, ansonsten bekommen sie keine Play Services mehr. Der Trick über ein vorinstalliertes Nougat mit einem direkten Upgrade auf Oreo wird dann nicht mehr ziehen.

Nur so eine Vermutung, aber wahrscheinlich hatten die SoC-Hersteller keine fertige Treble-Implementierung für ältere SoCs, aber die Smartphone-Hersteller hatten noch viele davon im Keller liegen. Ich glaube jedenfalls nicht, dass da ein Smartphone-Hersteller irgendwie selbst Treble anfängt zu implementieren. Von Huawei, Google und Samsung einmal abgesehen.

Von Google kommen auch nur Durchhalteparloen. Die Fragmentierung steigt immer weiter an statt weniger zu werden. Das Android 8, mit dem alles besser werden sollte, ist 8 Monate nach Release auf weit unter 5% der Geräte installiert. Ich glaube ohne Clean Cut mit einem neuen System wird das nichts mehr...

Sobald Geräte mit Android 8 ausgeliefert werden, sollte es einfacher werden.;)

"weit unter 5%" ist gut.

Android 8 und 8.1 zusammen kommen grad mal auf 1.1% und haben damit die langsamste Verbreitung seit der Aufzeichnung. (finde den link dazu leider nicht mehr)

https://de.statista.com/statistik/daten/studie/180113/umfrage/anteil-der-verschiedenen-android-versionen-auf-geraeten-mit-android-os/

Die Hersteller scheinen sich mit Hand und Fuß gegen 8.x zu wehren...

Nicht verwunderlich, da Treble für die Hersteller halt ein komplizierteres Update ist. Statt dass alles irgendwo miteinander verwoben ist oder dreckig reingepatcht ist, muss es nun über die von Treble bereitgestellten APIs ablaufen. Das haben sich die Hersteller ja mehr oder weniger selbst eingebrockt.

Es ist an sich auch gar nicht so wichtig auf Android 8 zu sein. Android 5.1, 6.x und 7.x sind alle noch unterstützt und erhalten regelmäßig Updates. Problem ist hier der Smartphone-Hersteller der diese nicht ausliefert, bzw. der SoC Hersteller, der rumschlampt.

Letztendlich alles eine Frage der Zeit. Irgendwann kommen alle neuen Smartphones damit. Dann muss natürlich trotzdem der Hersteller noch tätig werden.

Die Hersteller scheinen sich mit Hand und Fuß gegen 8.x zu wehren...

Ich vermute es liegt eher daran, dass die Umstellung für die neuen Smartphones (S9/G7/...) aufgrund von Project Treble von den selben Leuten mitgemacht werden muss, die auch sonst für die bisherigen Updates verantwortlich waren.
D.h. es verzögert sich natürlich etwas mit Android 8.x

CB berichtet jetzt auch darüber:
https://www.computerbase.de/2018-04/sicherheit-smartphone-hersteller-android-patches/

MfG
Rooter

Gibt es irgendwo eine Erklärung, wie getestet wurde?

Nicht verwunderlich, da Treble für die Hersteller halt ein komplizierteres Update ist. Statt dass alles irgendwo miteinander verwoben ist oder dreckig reingepatcht ist, muss es nun über die von Treble bereitgestellten APIs ablaufen. Das haben sich die Hersteller ja mehr oder weniger selbst eingebrockt.

Niemand muss mit 8/8.1 auch Treble bringen. Und die wenigsten Hersteller tun dies, da es eine Neu-Partitionierung des Speichers benötigen würde und das Risiko den meisten Herstellern zu groß ist.

Man liest halt an jeder Ecke von Verschiebungen mit 8/8.1, wegen Bugs.

Niemand muss mit 8/8.1 auch Treble bringen. Und die wenigsten Hersteller tun dies, da es eine Neu-Partitionierung des Speichers benötigen würde und das Risiko den meisten Herstellern zu groß ist.
So ist es. Nur neue Geräte, die mit 8.0 oder neuer erscheinen und und für die Nutzung von Google-Diensten zertifiziert sein sollen, müssen mit Treble ausgeliefert werden.

Niemand muss mit 8/8.1 auch Treble bringen.

Als Upgrade von 7.x aus nicht, aber sobald es vorinstalliert ist, müssen sie Treble umsetzen.

Hmm... in dem von mir zitierten Text steht explizit etwas von einem komplizierten Update ;).

Hersteller müssen auch intern ihre Änderungen und Anpassungen aktualisieren. Das hat jetzt nicht direkt was mit einem Update auf einem Gerät von 7.x -> 8.x zu tun. Also, so war es zumindest nicht gemeint.

1. der SoC Hersteller muss das Upgrade sowohl Treiberseitig als auch für die CPU selbst für Android 8 vornehmen
2. der Smartphone-Hersteller muss seine Android-Anpassungen auf die Möglichkeiten von Treble zurückfahren (hier ist vermutlich ein großer Streitpunkt)

Das ist wesentlich mehr als es zuvor nötig war. Oft gab's vom SoC Hersteller nicht mal neue Kernel, sondern bestimmte CPU-Reihen blieben einfach auf 3.x stehen, vollkommen egal welches Android "oben drauf" ist.

Und jetzt trifft ein Zwangs-Upgrade auf Upgrade-Faule Hersteller. Sieht man ja was da passiert -> Es dauert.

Nur neue Geräte, die mit 8.0 oder neuer erscheinen und und für die Nutzung von Google-Diensten zertifiziert sein sollen, müssen mit Treble ausgeliefert werden.
Als Upgrade von 7.x aus nicht, aber sobald es vorinstalliert ist, müssen sie Treble umsetzen.Finde ich eine gute Entscheidung. :)

MfG
Rooter