Keine neue Androidsubversion != keine Updates

Nur weil die Hersteller nicht auf die neueste Sub!-Androidversion springen, bedeutet es ja nicht, dass die Hersteller keine Updates für ihre eigenen "Forks" rausbringen. Das oft in dieser Diskussion immer vergessen.

Außerdem sind es ja seit ICS nur Subversionen, die jetzt auch nicht wirklich weltbewegendes mitbringen.



1 mal bearbeitet, zuletzt am 04.11.13 09:36 durch Bernie78.

Wenn du sicherheitsupdates als nicht weltbewegend empfindest
kann man dir auch nicht helfen.

Laut dieser Statistik kann man über 50% der Droiden per USSD löschen.

Sicherheitsupdates haben aber nichts mit der Androidversionsnummer zu tun.
Ein Hersteller, der noch sagen wir 4.1 verwendet, kann dir dort natürlich genauso alle Sicherheitslücken per Update fixen, nur dass die Version eben weiter als 4.1 angezeigt wurd.

Ein Hersteller, der sich nicht in der Lage sieht, eine ständig aktuelle Android-Version anzubieten, soll also selbstständig den Backport für Sicherheitspatches übernehmen? Das darf wohl als Witz gelten.

Vor allem, weil das letztlich auch viel gefährlicher ist: Denn Code, den man nicht selbst geschrieben hat und von dem man wenig versteht zu warten, ist eine enorme Herausforderung (wieso kommen mir spontan die Wörter Debian und OpenSSL in den Sinn?). Das würde also regelmäßig Flickwerk bleiben bzw. vielleicht sogar ganz neue Sicherheitslücken reißen.

deus-ex schrieb:
--------------------------------------------------------------------------------
> Wenn du sicherheitsupdates als nicht weltbewegend empfindest
> kann man dir auch nicht helfen.
>
> Laut dieser Statistik kann man über 50% der Droiden per USSD löschen.


Ja, laut Statistik.
Mir ist im Bekanntenkreis aber niemand bekannt, der faktisch Probleme mit seinem Smartphone hat oder hatte weil er ein Sicherheitsupdate nicht bekommen hat.

Mingfu schrieb:
--------------------------------------------------------------------------------
> Ein Hersteller, der sich nicht in der Lage sieht, eine ständig aktuelle
> Android-Version anzubieten, soll also selbstständig den Backport für
> Sicherheitspatches übernehmen? Das darf wohl als Witz gelten.
>

Beispiel Smasung: Sie habe die USSD -Lücke selbst geschlossen ...

Die erste Frage wäre, ob sie die Lücke tatsächlich auf allen Geräten geschlossen haben oder nicht nur für ihre Spitzenmodelle S2 und S3. Außerdem kam hier hinzu, dass im Falle von Samsung die Konsequenz besonders fatal war, weil Codes zum Löschen des Telefons öffentlich bekannt waren.

Ganz nebenbei: Das ist eine einzige breit öffentlich diskutierte Sicherheitslücke. Ich möchte nicht wissen, was im Android-Code noch alles so schlummert und nicht bekannt ist bzw. weniger Aufmerksamkeit bekommt. Wenn man sich schon anschaut, was allein am Linux-Kernel ständig an Sicherheitsfixes reinkommt, dann ist schwer vorstellbar, dass die USSD-Lücke das einzige Problem von Android-Geräten in den letzten Jahren gewesen sein soll.

Mingfu schrieb:
--------------------------------------------------------------------------------
> Ganz nebenbei: Das ist eine einzige breit öffentlich diskutierte
> Sicherheitslücke. Ich möchte nicht wissen, was im Android-Code noch alles
> so schlummert und nicht bekannt ist bzw. weniger Aufmerksamkeit bekommt.
> Wenn man sich schon anschaut, was allein am Linux-Kernel ständig an
> Sicherheitsfixes reinkommt, dann ist schwer vorstellbar, dass die
> USSD-Lücke das einzige Problem von Android-Geräten in den letzten Jahren
> gewesen sein soll.


Ja, genau das habe ich auch geschrieben. Es mag Lücken geben, aber die sind kein Problem.

Übrigens nicht nur bei Android, auch wenn du es gerne so hättest.

Bernie78 schrieb:
--------------------------------------------------------------------------------
> Ja, genau das habe ich auch geschrieben. Es mag Lücken geben, aber die sind
> kein Problem.

Das ist eine sehr gewagte Aussage. Warum sollten all die Probleme, die wir vom PC kennen, nicht auch auf Smartphones und Tablets aufschlagen? Die Dinger ersetzen den PC immer stärker, also wird dort in Zukunft ein deutlich stärkeres Interesse von Kriminellen zu beobachten sein. Warum sollten die vor diesen Geräten Halt machen?

Der Trend läuft auf jeden Fall in diese Richtung. Trojaner sind auch auf Smartphones kein unbekanntes Thema mehr. Momentan brauchen sich allerdings Kriminelle kaum die Mühe machen, nach Sicherheitslücken im System zu suchen, denn die größte Sicherheitslücke hat üblicherweise ihre Finger direkt auf dem Touchscreen.

Wie man in Anbetracht dessen zu einer Vogel-Strauß-Einschätzung gelangen kann, dass es keine Probleme gibt, weil man den Kopf nur tief genug in den Sand steckt, erschließt sich mir nicht.

Bernie78 schrieb:
--------------------------------------------------------------------------------
> Mingfu schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ein Hersteller, der sich nicht in der Lage sieht, eine ständig aktuelle
> > Android-Version anzubieten, soll also selbstständig den Backport für
> > Sicherheitspatches übernehmen? Das darf wohl als Witz gelten.
> >
>
> Beispiel Smasung: Sie habe die USSD -Lücke selbst geschlossen ...

Für ihre Top-Smartphones vielleicht, die restlichen 1xx Devices von Samsung erhalten diese Updates nie!

deus-ex schrieb:
--------------------------------------------------------------------------------
> Wenn du sicherheitsupdates als nicht weltbewegend empfindest
> kann man dir auch nicht helfen.
>
> Laut dieser Statistik kann man über 50% der Droiden per USSD löschen.

Ist doch toll? Die sollen gefaelligst neue Geraete kaufen. Wer laenger als 6Monate ein Geraet nutzt, schadet doch dem Hersteller. Wachstum ist angesagt. Ausser bei Google Nexus, da darf man die Geraete 18 Monate haben (ab Erscheinungstag, nicht Nutzung)

ChMu schrieb:
--------------------------------------------------------------------------------
> Ausser bei Google Nexus, da darf man die Geraete 18 Monate haben
> (ab Erscheinungstag, nicht Nutzung)

Wie oft muss man dir noch erklären, dass das Support-Ende des Galaxy Nexus mit der Änderung der Treiberschnittstelle in KitKat zu tun hat und da TI die Sourcen für die Treiber für die Chips, die sie mittlerweile nicht mehr supporten, nicht offengelegt hat, auch keiner mehr die Treiber anpassen kann. Google hat obwohl sie nicht Schuld sind, die Schuld auf sich genommen und gesagt, dass sie den Support eingestellt haben, obwohl eigentlich TI den Support eingestellt hat.
Warum man sich sicher sein kann, dass tatsächlich TI schuld ist? Nunja jeder der bis jetzt probiert hat ein KitKat Custom-ROM für das Galaxy Nexus zu bauen ist genau auf das Problem mit der geänderten Schnittstelle mit dem Grafiktreiber gestoßen.

Mingfu schrieb:
--------------------------------------------------------------------------------
> Ganz nebenbei: Das ist eine einzige breit öffentlich diskutierte
> Sicherheitslücke. Ich möchte nicht wissen, was im Android-Code noch alles
> so schlummert und nicht bekannt ist bzw. weniger Aufmerksamkeit bekommt.
> [...] dann ist schwer vorstellbar, dass die
> USSD-Lücke das einzige Problem von Android-Geräten in den letzten Jahren
> gewesen sein soll.

Bist du dir sicher, dass die USSD-Lücke eine (Vanilla-)Android-Lücke ist? Weil du ganz allgemein vom "Android-Code" sprichst. Oder wurde die Lücke durch Android-Anpassungen von Drittherstellern implementiert?
Bei meinem Vanilla-Android wurden USSD-Codes nicht automatisch ausgeführt, man musste noch den "Anrufen"-Button drücken.
Bei meinem Samsung Galaxy S1 hingegen wurde der Code (gefährlicherweise) direkt nach Eingabe des letzten Zeichens ausgeführt.

Falls du zusätzlich zu einer Antwort auch noch Quellen hast, immer her damit! : ] Ich lasse mich auch gerne eines Besseren belehren, falls ich in irgendwelchen Punkten Unfug erzählte.