Auch monatliche Sicherheitsupdates können Android nicht retten
Nach dem Schock durch den Stagefright-Bug haben große Smartphone-Hersteller wie Samsung, LG und Google selbst versprochen, monatliche Sicherheitsupdates zu liefern. Wir gehen davon aus, dass Sony, HTC und Motorola bald folgen werden. Während das ein Schritt in die richtige Richtung ist, wird sich damit die Lage aber nicht wirklich verbessern.
- Die harte Realität: Darum wird Android nie sicher sein
- Stagefright-Sicherheitslücke: Das musst Du wissen
Natürlich klingt das zunächst gut, wenn Hersteller auf einmal monatliche Sicherheitsupdates versprechen. Der besorgte Kunde weiß dann, dass er die neusten Patches für die bekannt gewordenen Android-Sicherheitslücken bekommt. Aber war das im Grunde nicht schon immer so?
Erinnert Ihr Euch noch an den Tastatur-Bug, der bei Samsung vor ein paar Monate festgestellt wurde? Samsung hat sich ziemlich schnell darum gekümmert, weil man das Problem sehr ernstgenommen hatte. Und wenn man ehrlich ist, versucht Samsung schon seit einem halben Jahr, den Plan mit den monatlichen Updates umzusetzen. Dasselbe gilt für den Sicherheits-Zwischenfall bei LG, der binnen weniger Tage behoben wurde. Als die Medien darüber zu berichten begannen, waren die Patches schon unterwegs zu den Kunden.
Dasselbe gilt für die meisten Sicherheits-Pannen in Android. Wenn das Problem groß genug ist, bekommen es Google, Smartphone-Hersteller und die Mobilfunkprovider erstaunlich schnell auf die Reihe, die entsprechenden Updates zu liefern. Dasselbe auf monatlicher Basis zu versprechen, klingt einfach nur netter. Dabei darf man nicht vergessen, dass diese Updates immer nur auf den neusten Flaggschiff-Geräten ausgerollt werden. Mittelklasse-Geräte, die fast jeder hat, bekommen sie gar nicht. Damit verkommt das edel anmutende Versprechen zu einem Service für wenige Prozent der Nutzer.
Immerhin werden kleinere Sicherheitslücken endlich auch bedient. Statt eines Updates alle paar Monate, sind Lücken nun maximal einen Monat offen. Doch auch dies gilt nur für Besitzer neuerer Geräte, und wenn Samsung, LG und Co. dem Beispiel von Google folgen, ist auch nur für wenige Jahre mit Service zu rechnen; selten ist der Wartungszeitraum so groß wie die übliche Nutzungsdauer. Ein Blick in die Opensignal-Statistik zeigt, dass noch immer das drei Jahre alte Samsung Galaxy S3 das am weitesten verbreitete Smartphone ist. Und dessen letztes Software-Update liegt über ein Jahr zurück.
Die monatlichen Updates werden in Sachen Priorisierung nach wie vor nicht viel ändern. Wenn es in einem Monat fünf Sicherheitslücken gibt, werden sie der Wichtigkeit nach abgearbeitet und die weniger wichtigen bleiben einfach offen. Und mancher Bug wird sich noch immer nicht innerhalb eines fixen Zeitrahmens beheben lassen.
Man muss auch bedenken, dass die Sicherheitslücken oft Monate vor Ihrer Bekanntmachung ausgenutzt werden. Nur weil man den Patch-Prozess beschleunigt, heißt es nicht, dass auch die Lebenszeit einer Sicherheitslücke bedeutend verkürzt wird. Schauen wir uns die LG-Lücke an: Die Forscher, die diese entdeckt haben, sagten, dass sie schon ein Jahr alt gewesen sei. Das Problem lag also nicht in der Reaktionszeit von LG, sondern in der Trägheit der Entdeckung.
Während also der Fokus auf die Reaktionszeit löblich ist, ist der Weg zur perfekten Android-Sicherheit noch lang. Es ist schön zu sehen, dass Smartphone-Hersteller, die Provider und Google endlich enger zusammenrücken, um die Lücken zu schließen, doch die nächste Priorität muss sein, diese schneller zu finden, unabhängig von externen Forschern, die auf einmal auf sie hinweisen.
Es gibt eine Möglichkeit, zu sehen, ob Euer Gerät von der Stagefright-Lücke betroffen ist und es gibt Wege, auch ohne Software-Update ein wenig Schutz zu finden. Erfahrt mehr über die weißen Hut entlarvt wurden.
Wie geht es Euch bei der Sache? Sind für Euch Sicherheitslücken ein ernstes Thema oder seht Ihr die Angelegenheit entspannt?
Ach nein, für NICHT bekannte Probleme gibt es keinen Fix? Was für eine Erkenntnis!
Das betrifft übrigens JEDES irgendwie geartete System.
Wie wär's mit der nächsten Skandal-Überschrift: "Auch monatliche Updates können Windows nicht retten!"
Die AndroidPIT-Klickzahlen steigen danach in ungeahnte Höhen....
@Fischkopf ich habe nicht behauptet das mir was durch das RIESENGROSSE OFFENE SCHEUENTOR (es ist nunmal die Wahrheit und selbst du wirst es nicht ändern) durchgekommen ist,sondern es geht nur darum das Android kein sicheres System ist. Punkt.
Auch die Updatepolitik von Android und Co sind unter aller sau. Punkt.
Von den Geschäftsgebaren, fange ich erst garnicht an zu reden bzw. zu schreiben. Punkt.
Und mich nervt deine beharrliche Hetze gegen "Android und Co" der letzten Wochen. Punkt.
Dann gehe doch einfach. Reisende soll man nicht aufhalten. Winke winke!
BTW: Da dich APPLES Geschäftsgebaren ebenfalls "einfach nur ankotzt", bleiben ja nicht mehr viele Alternativrouten bei deiner aktuellen Reiseplanung übrig...
androidpit.de/apple-will-mehr-android-nutzer?c=1738429#comment1738429
Oder ist die Ursache für deinen Ärger vielleicht gar nicht beim Geschäftsgebaren dieser Unternehmen zu suchen, sondern bei dir selber? Na ja, egal!
P.S.: Vielen Dank, dass du nicht auch noch damit anfängst, über das Geschäftsgebaren zu schreiben. Das finde ich sehr rücksichtsvoll von dir. Also nochmals: Danke!
"Updatepolitik von Android"
Nein, die von Samsung. da du ja aber scheinbar nur Samsung kennst, kapier ich nicht ganz wie du auf diese Behauptung kommst. Kauf dir mal ein nexus!
Hmm Eigentlich ist Android ziemlich sicher. Windows ist unsicherer und Ape ist auch nicht besser.
@Didado
hmm so schlecht macht Samsung das doch garnicht. Wenigstens haben die Google unabhängige Sicherheitupdates.
Viele gucken nur auf die Android aktualisierungen, Samsung konnte z.b das Sicherheitsleck in der Tastatur äußerst schnell über den eigenen Store beheben. Und diese Möglichkeit hat Samsung schon sehr lange, genau das fehlt auch den meisten anderen Androiden. Wenn ich mir mein s6 an gucke wurde viel für die sicherheit getan, z.b ein Virenschutz auf Kernel ebene, das hat ein Nexus nicht.
Auch der Browser u.s.w wird sehr oft akualisiert, dazu kommen die eigenen Sicherheitsrichtlinien Updates und die Knox Lösung.
Man muss Samsung nicht mögen, aber dies bezüglich agieren die eigentlich vorbildlich. All dies bietet auch das Nexus nicht. Da hast du doch auch nur die Standart Google Updates und das war es.
Der Google eigene Schutz ist eh fürn Arsch. Hatte jetzt drei mal den Fall das der Google Schutz nichts merkte, aber der vor installierte Schutz von Intel Mc Afee angeschlagen hat.
Einmal bei einer Custom Kernel, und genau das finde ich Top. Mir ist gerade kein nachträglicher Schutz bekannt der etwas bei einer anderen Kernel merken würde und das finde ich wirklich lobenswert.
Echt jetzt? Kannst du dass auch irgendwie belegen? Wenn man ehrlich ist, wird man über Sicherheitslücken doch sowieso erst aufgeklärt, wenn das Kind schon in den Brunnen gefallen ist. Android hat nach wie vor ein großes Problem gegenüber WP und IOS und das ist die Fragmentierung. Ausserdem denke ich ist dieses fast schon aufdringliche raushauen von ständig neuen Modellen ohne wirkliche Neuerungen aber mit immer anderen Herstelleraufsätzen, für eine anständige Updatepolitik nicht zu wuppen. Ich will mir nicht jedes Jahr ein neues Phone kaufen müssen, um mir die vage Chance auf eine ( u. U.nur wenige Monate andauernde) Updategarantie zu schaffen. Aus diesem Grund bin ich jetzt mal auf WP umgestiegen.( naja, auch aus Neugier und weil mir meine Zeit als Appjunkie und Custom-Rom-Freak einfach zu schade geworden ist. Ausserdem finde ich das Lumia 930 richtig schick!) Solange Microsoft (und auch Apple) sich nur um ein einzig existierendes OS kümmern muss, fühle ich mich in dieser Beziehung dort einfach besser aufgehoben. Für mich ist WP jedenfalls (seit Version 8) eine echte Alternative geworden!
@Lefti
Nein kann ich dir nicht belegen, aber hauptangriffsziel ist nach wie vor Windows. Das Sandbox prinziep ist schon sicherer als Windows.
Und immerhin hört man schon wenig von Leuten wo wirklich das Android Phone geknackt wurde.
Auf meinem Windows rechner hingegen waren in letzter zeit recht häufig Trojaner und Viren.
Denke auch nach zu Wp zu wechseln. Bekommen die Geräte von jetzt auch Windows 10? Das Nokia mit der 41mp Cam macht mal sowas von tolle Bilder, da ist die Cam in meinem s6 der letzte Scheiss gegen. Windows 10 für die Smartphones soll ja echt Top sein. Irgendwie traue ich Microsoft auch mehr über den Weg als Google. Bei mir wird es Tizen oder Win 10 das steht fest. Ist wirklich ein Nachteil von Android mit den Updates und Hersteller Aufsätzen.
"Samsung konnte z.b das Sicherheitsleck in der Tastatur äußerst schnell über den eigenen Store beheben."
Wenn sie nicht extra zusätzlich noch eine eigene Tastatur bräuchten, hätten sie kein Sicherheitsleck.
Virenschutz auf Kernelebene? Wozu?
Der Browser wird sehr oft aktualisiert? Achja, da braucht Samsung ja wieder was eigenes. Chrome wird auch häufig aktualisiert.
"All dies bietet auch das Nexus nicht."
Jo, weil nexus mit dem nötigsten kommt. Was nicht da ist, kann auch nicht fehleranfällig sein ;D Und was nicht unnötig aufgeblasen ist, kann Google schneller fixen. Hat ja jetzt auch wunderbar funktioniert.
"... aber der vor installierte Schutz von Intel Mc Afee angeschlagen hat."
Da frag ich mich warum vorher deine brain.apk nicht angeschlagen hat.
Hmm Finde die Tastatur aber tausend mal besser als die beim Nexus, denn die vom Nexus habe ich aufm Galaxy auch schon getestet genau wie die google Kamera, beide fand ich vergleichsweise fürn Arsch um ehrlich zu sein. Den Browser nannte ich nur als Beispiel auf diese Art und Weise werden sehr viele Sicherheits relevante Dinge geupdatet. Hmm was hat das mit Brain.apk zu tuhen, dann bräuchten wir also alle keinen Virenschutz mehr wenn wir unser gehirn benutzen und auf passen?
Lächerlich.
Fakt ist mal das ein Nexus nicht sicherer ist. Okay die Google Updates kommen schnell, aber das wars auch. Ich finde den Schutz jeden falls gut eben ganz im Gegenteil wie du behauptest. Knox hat google sogar von Samsung ab gekupfert. Übrigens der Stock Samsung Browser ist Chrome. Und die Tastatur ist Swiftkey.
Nur weil du etwas schneller Android Updates erhälst ist ein Nexus nicht sicherer. Das ist doch Quatsch.
Im gegenteil vieles fehlt sogar. Und wie ich selber erleben konnte erkannte der Google Schutz bei mir nichts, der vor installierte von Samsung schon.
Verstehe nur nicht warum du da gerade Samsung als negativ betietelst, wobei die sehr schnell Updates bringen. Und gerade eben das sie selber updaten können, das fehlt den meisten Androiden. Deswegen ist es nicht besonders richtig da Samsung als schlechtes Vorbild zu nennen. Im ganzen wurde da sehr viel getan und der Schutz ist weitreichender als auf deinem Nexus das nur mal so...
Was den PC angeht, hast du sicherlich recht. Ich bilde mir ein, dass die relativ geringe Verbreitung von WP schon per se einen gewissen Schutz vor Hackern bietet. Aber wer weiß...?
Mein Lumia 930 bekommt definitiv das 10er Update. MS hat schon ne Liste veröffentlicht mit den Geräten die das zehner Update zuerst bekommen. Hab den Link grad nicht parat. Musste halt ergoogeln.
Ich arbeite seit 2009 mit meiner brain.apk und habe noch nie ein Virenschutzprogramm auf meinem Smartphone installiert und nein ich hatte noch nie Malewareprobleme. Also nicht lächerlich, sondern sehr machbar.
Wenn bei dir irgendwo irgendwas irgendwer erkennt, dann solltest du sorgfältiger bei deinen Download-Bezugquellen sein. ;)
Ich habe mehrere Tastaturen probiert, neben der Google-eigenen. Auch die von Samsung und alle machen am Ende nichts besser. Man tippt - je nach Geschick schneller oder langsamer - Buchstaben ein, die man zu Wörtern und Sätzen kombiniert. Das hat bisher mit keiner besser oder schlechter funktioniert. Selbst die, die es versprachen die Eingabe zu beschleuningen, waren am Ende einfach nur umständlich und nervig.
Und mit der Kamera-App löse ich aus. Ich suche übers Diplay meinen Bildausschnitt und löse dann aus. Da brauch ich IN der Kamera keine seltsamen Extrafunktionen, die mein Bild direkt beim Auslösen verschlimmbessern. Nach dem Auslösen lade ich das Bild entweder in Instagram oder in VSCO und bearbeite dort eine Kopie des Bildes.
Das was hier den Unterschied macht ist der Bildsensor und nicht die App.
"Okay die Google Updates kommen schnell, aber das wars auch."
Das war es nicht nur auch, sondern das IST es. Und das IST der kleine aber feine Unterschied.
Regel Nr. 1: Wer "Punkt." schreibt, hat immer und automatisch recht. Punkt.
Und du schreibst pauschalierten Unfug. Punkt.
@Anonymous Also von mehreren Milliarden Android Geräten sollen wohl 0,1 Prozent von Viren und Malware betroffen sein.
Wenn du das ein offenes Scheunentor nennst, weiß ich es auch nicht.
Offenes Tor für Google, Nsa und regierungen ja, das aber ab Werk.
Für Hacker ist es dennoch nicht so arg einfach wie du meinst. Bei 0,1% betroffener Geräte von Millarden kann man schon von sehr sicher sprechen.
Und Gerade weil es so viele verschiedene Geräte und Aufsätze giebt wird es schwerer einen Hack für alle Geräte zu finden.
Würde ein Hacker also eine Lücke bei Apple finden wären wahrscheinlich mehr Geräte davon betroffen, als bei einem Android Gerät weil der Hack nicht auf jedem Gerät funktioniert. Stagefright ist da eine Ausname, und selbst da glau e ich nicht das ein und der selbe Angriff auf allen Androiden dann auch funktionieren würde.
Somit sind die verschiedenen Geräte und deren unterschiedliche Treiber eher ein Vorteil, denn trotz gleicher Android Version sind da schon ganz erhebliche Unterschiede und verschiedene Schutz Funktionen.
Genau deswegen müssen auch verschiedenen Androiden mit verschiedenen Methoden gerootet werden.
Diese Unterschiede wirst du bei Apple oder wp nicht haben, somit ist es leichter viele Geräte zu befallen wenn ein Hack gefunden wurde.
Mein Phone ist jetzt gerade von 5 Stagefright Methoden nur bei einer davon verwundbar. Bei anderen Androiden sieht es wieder anders aus. Genau das ist ein gewisser Schutz, den man bei wirklich gleicher Hardware nicht hat.
Genau deswegen sind Windows rechner auch anfällig, weil nahezu alle Systeme mit einem gleichen Hack angegriffen werden können.
Bei Android ist das so nicht machbar.
Also ich stimme zu, dass es wohl keinen "Multi-kompatiblen" Hack geben wird, aber möglich ist es.
Die unterschiedlichen Treiber sind da aber kein Schutz, weil der Stagefright-Exploit auf einer höheren Systemebene arbeitet und somit wohl nur per "Zwischenschicht"/"HardwareAbstractionLayer" auf die Hardware zugreift.
Auch ist Windows nicht DESSHALB unsicher... Wie du siehst, haben da Treiber auch keinen wesentlich Einfluss (aber natürlich gibt es das auch).
Windows hat einerseits viele Zusatzprogramme und je mehr Programmcode, desto mehr mögliche exploits. Weiterhin kommt z.B. der Zugriff eines Programmes auf ein anderes hinzu, oder wie auch durch Fehler in Programmen von Drittanbietern, exploits generiert und Viren, Trojaner, etc. eingeschleust werden können.
Sogesehen ist auf Windows jedes offizielle nicht gecrackte/modifizierte Programm schon ein mögliches "Einfalltor" oder "Scheunentor", oder was hier schon so geschrieben wurde. Jedes installierte Programm(!) * Menge des Programmcode --> Anzahl an möglichen Exploits.
Nochmal zum verdeutlichen... Jedes original-program... Bei Android muss die APK zumindest vormodifiziert sein und das kann theoretisch recht einfach und sicher vor der Installation und Codeausführung abgefangen werden, solange bekannt...
Sorry meinte auch eher nicht die Treiber sondern die verschiedenen Hersteller Aufsätze. Sieht man ja auch oft an Custom Mods, das man einen bestimmten auch nur für ein Phone nutzen kann und dieser eben nicht auf allen Geräten funktioniert.
Oder das Xposed Framework was für viele Geräte angepasst werden muss.
Zumindest ist das in gewisser weise ein positiver Aspekt der Fragmentierung.
Ich sag mal ein Hack der auf einem Windows Rechner funktioniert, funktioniert normal dann auch auf einem anderen Windows der die selbe Software hat daber von einem anderen Hersteller ist.
Wäre auch Stagefright so einfach bin ich mir ziemlich sicher das schon massenhaft mms raus gegangen wären, denn bin mir schon sicher das die Mehrzahl an Handynummern schon lange im freien Umlauf sind b.z.w gekauft werden können.
Ja, die Herstelleraufsätze sind so ne Sache...
Einerseits können die verhindern, dass bestimmte Exploits auf den Geräten ausgeführt werden, andererseits bieten diese wiederum neue Angriffsflächen. Beides ist wiederum auf den eigenen Programmcode des Herstellers zurückzuführen.
Die Herstelleraufsätze können Android-Versions-unabhängig Bugs enthalten, die ausgenutzt werden können. Da würde ein normales Android-Update wohl meistens nicht viel bringen.
Hinzu kommt, dass der Herstelleraufsatz ja nicht nur eine optische Veränderung und Zusatzprogramme, sondern wirklich tiefer gehende Veränderungen am System ist.
Viele Features, die eben bei den Custom-ROMs und bei den Herstelleraufsätzen drin sind, sollten in's AOSP-Projekt integriert werden, damit Hersteller ihre "mods" entschlacken können.
Somit können auch Updates schneller ausgerollt werden, usw.
Nutze cm12.1 auf dem Nexus 6. Da wurde die Stagefright Lücke schon lange geschlossen :)
Werner Sirtl hat vollkommen recht. Eine Aussage über die Handlungen, Bedürfnisse, das Verlangen ect. von bestimmten Gruppen von Menschen, den um die geht es ja in seinem Kommentar, kann man nur dann treffen, wenn Daten über die Quelle und Herkunft des Artikels der betreffenden Gruppe bekannt sind. Die gibt es in ausreichendem Maße, womit klar ist, das es kein Vorurteil ist. Denke das die Sicherheitslücken in jedem System vorhanden sind. Die Entscheidung für das eine oder andere ist in den meisten Fällen eine Gefühlsmäßige Entscheidung.
was ist denn jetzt die Schlussfolgerung seitens AP? soll ich auf Apple oder Windows umsteigen oder es besser ganz lassen? Toller Bericht...
Einfach mal selbst ab und an das Hirn einschalten, dann braucht auch Android nicht "gerettet" werden... -.-