Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Stagefright: Samsung und Google…

Besser spät als nie

  1. Thema

Neues Thema Ansicht wechseln


  1. Besser spät als nie

    Autor: Lala Satalin Deviluke 06.08.15 - 11:03

    Nur stört es mich, dass "Gespräche" mit den Providern gemacht wird.

    Was bitte ist so schwer daran, die Updates auch bei Branding-Geräten einfach mal raus zu hauen? Schließlich sind es nur Patches. Und wenn dabei das Branding teilweise verloren geht, sollen sich halt die Provider drum kümmern die wieder rein zu kloppen...

    Grüße vom Planeten Deviluke!

  2. Re: Besser spät als nie

    Autor: waswiewo 06.08.15 - 11:17

    Ich frag mich sowieso immer, was das für eine Update-Struktur ist. Es muss dich möglich sein Sicherheitsupdates einzuspielen, ohne dafür direkt das ganze System "auszutauschen". Wenn Google ein Patch für z.B. Stagefright liefert, muss es mir als Anbieter wie Samsung doch möglich sein diesen Patch mit nicht viel mehr als einem Knopfdruck in die eigenen Android-Versionen zu integrieren. Ebenso beim Provider-Branding ... die meisten Sicherheitsupdates haben rein gar nichts mit den Apps zu tun, die die üblichen Provider-Brandings so mit sich bringe, warum ist deren Integration dann (scheinbar) so schwierig?

    Irgendwo ist da doch ein Problem schon ganz früh im System ...

  3. Re: Besser spät als nie

    Autor: genussge 06.08.15 - 11:27

    Das Problem scheint offenbar in den Wurzeln zu liegen. Anders kann ich mir das auch schwierig erklären. Aber es bringt wiederum auch nichts ein Update zu verteilen, welches neue Fehler mit sich bringt.

    Ein Patchday, sofern das alles so auch funktioniert, würde ein sehr großer Schritt in die richtige Richtung sein.

  4. Re: Besser spät als nie

    Autor: Mo3bius 06.08.15 - 11:39

    Ich mag Android sehr, sowohl als Benutzer als auch App-Programmierer, aber die Update Politik ist eine Katastrophe.

    Auch ein Patchday ändert daran nichts. Ich meine wie soll das funktionieren? Google bringt monatlich Patches heraus. Diese werden an Samsung weitergegeben. Samsung gibt das an die Provider weiter. Diese passen den Patch an ALLE Geräte an?? Was ist aber mit älteren Geräten, Geräten von anderen Herstellern, Custom ROMs etc. ??

    Damit ergeben sich wieder massive Verzögerungen zwischen den ersten Exploits und dem finalen Update für mein Smartphone.

    Das ganze es bestenfalls ein erster Schritt. Was nötig ist, ist dass JEDES Android Smartphone direkt mit dem Update-Server von Google verbunden ist. Sobald Google ein Sicherheitspatch für Android 5.X bereitstellt, wird dieses heruntergeladen und installiert.

    Warum geht das nicht?? Linux, MacOS und Windows können das, warum versagt Android hier?

  5. Re: Besser spät als nie

    Autor: violator 06.08.15 - 12:31

    Bei Android verstehe ich eh nie, warum bei jedem Pupsupdate alles komplett neu gemacht werden muss und Patches nicht kommen, weil Treiber fehlen oder so. Als wenn jede kleine Änderung bei Android neu geschriebene Treiber verlangen würde. O_o

  6. Re: Besser spät als nie

    Autor: pythoneer 06.08.15 - 12:31

    Mo3bius schrieb:
    --------------------------------------------------------------------------------
    > Warum geht das nicht?? Linux, MacOS und Windows können das, warum versagt
    > Android hier?

    Weil es kein "Android" wie in dem Sinn von Windows oder OSX gibt. Android ist ein "Baukasten" um sich ein Betriebssystem zu bauen. Man kann das schon "annähernd" mit einer Linuxdistribution vergleichen. Es gibt kein "Linux" (abgesehen wir reden jetzt genau vom kernel) ... es gibt nur Ubuntu, Arch, Fedora ... Kommt ein Patch für den Kernel (oder jedes andere Programm) Upstream, dann muss das von jeder Distribution im Downstream eingepflegt werden. Ähnlich ist das bei Android. Mit dem Unterschied, dass sich die Linux Distributionen die Mühe machen das auch wirklich zu tun ... die Hersteller von Android-Geräten dagegen aber nicht. Da bleibt dann das Samsung Android, das HTC Android, das Sony Android ... einfach ungepatched.

    Das ist auch ein großer Kritikpunkt an vielen Linux-Distributionen. Maintainer haben damit unnötig viel Aufwand .. das findet auch Linus Torvalds.



    2 mal bearbeitet, zuletzt am 06.08.15 12:39 durch pythoneer.

  7. Re: Besser spät als nie

    Autor: pythoneer 06.08.15 - 12:34

    violator schrieb:
    --------------------------------------------------------------------------------
    > Bei Android verstehe ich eh nie, warum bei jedem Pupsupdate alles komplett
    > neu gemacht werden muss und Patches nicht kommen, weil Treiber fehlen oder
    > so. Als wenn jede kleine Änderung bei Android neu geschriebene Treiber
    > verlangen würde. O_o

    Nein muss man auch nicht, aber ich denke das liegt eher daran, dass man die manche Kernel module neu kompilieren muss. Unter Android gibt es wahrscheinlich nichts was einem DKMS gleich kommen würde (hab da nicht so viel Ahnung von den Interna Androids). Was unter nem Desktoplinux automatisch gemacht wird (neu kompilieren) ist wohl keine Option unter Android? (zu langsam zu energieintensiv?)



    1 mal bearbeitet, zuletzt am 06.08.15 12:35 durch pythoneer.

  8. Re: Besser spät als nie

    Autor: nille02 06.08.15 - 13:20

    violator schrieb:
    --------------------------------------------------------------------------------
    > Als wenn jede kleine Änderung bei Android neu geschriebene Treiber
    > verlangen würde. O_o

    Er muss aber an die geänderten APIs angepasst und neu kompiliert werden.

  9. Re: Besser spät als nie

    Autor: nille02 06.08.15 - 13:22

    pythoneer schrieb:
    --------------------------------------------------------------------------------
    > Nein muss man auch nicht, aber ich denke das liegt eher daran, dass man die
    > manche Kernel module neu kompilieren muss. Unter Android gibt es
    > wahrscheinlich nichts was einem DKMS gleich kommen würde (hab da nicht so
    > viel Ahnung von den Interna Androids). Was unter nem Desktoplinux
    > automatisch gemacht wird (neu kompilieren) ist wohl keine Option unter
    > Android? (zu langsam zu energieintensiv?)

    DKMS funktioniert nur bei kleinen Updates. Sobald sich was an der API verändert, fällt es auf die schnauze.

  10. Re: Besser spät als nie

    Autor: Erselber 06.08.15 - 14:37

    Was klärt Samsung denn jetzt mit Providern? Ist es Samsung nicht bekannt, dass sich die meisten Smartphones mindestens einmal am Tag im heimischen wifi befinden?

  11. Re: Besser spät als nie

    Autor: nille02 06.08.15 - 15:18

    Erselber schrieb:
    --------------------------------------------------------------------------------
    > Was klärt Samsung denn jetzt mit Providern?

    Die Provider wollen die Änderungen erst mal absegnen. Das betrifft nicht nur die Geräte mit einem brandig sondern auch die frei verkauften Geräte.

  12. Re: Besser spät als nie

    Autor: matok 06.08.15 - 16:56

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > Er muss aber an die geänderten APIs angepasst und neu kompiliert werden.

    Diese Sicherheitslücke hier hat aber sicherlich nichts mit einer Änderung an einer API zu tun. Ebenso ist dieser Bestandteil von Android sicherlich nichts, an dem die Hersteller rum drehen. Ebenso wenig werden an diesem Bestandteil die Provider etwas rumdrehen. Die Sicherheitslücke ist in einem Kernbestandteil von Android und der Fall zeigt sehr deutlich, dass das Update-Konzept von Android Mist ist. Solche Sicherheitslücken muss Google völlig unabhängig von Herstellern und Providern fixen und ausliefern können, sprich über ein Google Repository, auf das die Geräte direkt zugreifen.

    Bei der Sicherheitslücke im WebView ist es ja genau das gleiche. Es gibt keinen Grund, weshalb da noch X andere Seiten mit ins Boot müssen. Es ist ein Kernbestandteil des Frameworks, der wird gefixt, für die Android Version ins Repo gestellt und die Geräte holen sich das von Google. Fertig.



    1 mal bearbeitet, zuletzt am 06.08.15 17:00 durch matok.

  13. Re: Besser spät als nie

    Autor: nille02 06.08.15 - 17:54

    matok schrieb:
    --------------------------------------------------------------------------------
    > Diese Sicherheitslücke hier hat aber sicherlich nichts mit einer Änderung
    > an einer API zu tun.

    Hat sie nicht, aber Google pflegt ihre Versionen nicht. Ein "Fix" besteht meist nur in einem Upgrade. Siehe Webview und Googles Äußerungen dazu. Man solle einfach auf Kitkat oder Lolipop Upgraden ...

  14. Re: Besser spät als nie

    Autor: matok 06.08.15 - 19:12

    Wobei diese Vorgehensweise Googles ja nun auch schon wieder dem Konzept an sich geschuldet ist. Wieso sollte Google noch ziemlich alte Versionen pflegen, wenn die Hersteller ihrerseits diese Versionen gar nicht mehr pflegen? Was nützt es, wenn Google den WebView noch für 2.3 fixt, aber die Geräte damit so alt sind, dass sie längst EOL beim Hersteller erreicht haben?
    Das Grundübel ist und bleibt, dass Google nicht direkt Sicherheitspatches für Kernkomponenten an alle Geräte ausliefern kann. Und das ist eindeutig ein Fehler im Update-Konzept, für das Google ganz allein verantwortlich ist.

    Und dann sollte sich Google natürlich auch selbst verpflichten, jede Android Version z.B. 5 Jahre mit Sicherheitsupdates zu versorgen. Das wäre nicht zuviel verlangt, bei der Bedeutung, die diese Plattform hat.



    1 mal bearbeitet, zuletzt am 06.08.15 19:15 durch matok.

  15. Re: Besser spät als nie

    Autor: nille02 07.08.15 - 09:09

    matok schrieb:
    --------------------------------------------------------------------------------
    > Wobei diese Vorgehensweise Googles ja nun auch schon wieder dem Konzept an
    > sich geschuldet ist. Wieso sollte Google noch ziemlich alte Versionen
    > pflegen, wenn die Hersteller ihrerseits diese Versionen gar nicht mehr
    > pflegen? Was nützt es, wenn Google den WebView noch für 2.3 fixt, aber die
    > Geräte damit so alt sind, dass sie längst EOL beim Hersteller erreicht
    > haben?

    Die Hersteller haben aktuell ja nicht mal die Chance dazu. Sie können ja nichts ausliefern, was nicht vorhanden ist.

  16. Re: Besser spät als nie

    Autor: matok 07.08.15 - 10:37

    Du glaubst doch nicht ersthaft, dass Hersteller noch Geräte mit OS Versionen, in denen der WebView Bug steckt, pflegen. Aber wie auch immer, letzten Endes ist die Situation momentan so, dass der eine auf den anderen mit dem Finger zeigen kann und der andere tut das gleiche umgedreht. Das Ganze würde sich auflösen durch den von mir genannten Weg. Und er würde nebenbei auch die Verzögerung bei der Auslieferung beheben, die zwangsläufig auftritt, je mehr Parteien am Prozess beteiligt sind.

    Ich bleibe dabei. Das Android Update Konzept ist Mist und einer so bedeutenden Plattform völlig unwürdig, ja es ist geradezu fahrlässig.

  17. Re: Besser spät als nie

    Autor: nille02 07.08.15 - 11:25

    matok schrieb:
    --------------------------------------------------------------------------------
    > Du glaubst doch nicht ersthaft, dass Hersteller noch Geräte mit OS
    > Versionen, in denen der WebView Bug steckt, pflegen.

    Sie haben nicht mal die Chance dazu gehabt. Googles "Fix" bestand in einem OS Upgrade auf 4.4

    > Ich bleibe dabei. Das Android Update Konzept ist Mist und einer so
    > bedeutenden Plattform völlig unwürdig, ja es ist geradezu fahrlässig.

    Es hat ja auch niemand etwas gesagt. Die Lager streiten ja darüber, wer dafür verantwortlich ist. Google als OS Hersteller oder die Geräte/SoC Hersteller, dass sie kein Upgrade ausliefern. Die Schande dabei ist, es ist beiden vollkommen gleichgültig, da das Gerät ja schon Verkauft ist und die Daten auch von alten Geräten aus kommen.

    Man fühlt sich hier etwas an Windows 95 zurück erinnert. Damals gab es das Windows Update noch nicht, und das Internet war den Privatpersonen noch nicht so verbreitet.

  18. Re: Besser spät als nie

    Autor: George99 07.08.15 - 12:05

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > matok schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Du glaubst doch nicht ersthaft, dass Hersteller noch Geräte mit OS
    > > Versionen, in denen der WebView Bug steckt, pflegen.
    >
    > Sie haben nicht mal die Chance dazu gehabt. Googles "Fix" bestand in einem
    > OS Upgrade auf 4.4

    Und damit wäre das Problem ja auch gelöst. Nur wenn die Hersteller partout dem Kunden kein Update auf 4.4 anbieten wollen, kann Google da auch nichts für.

  19. Re: Besser spät als nie

    Autor: nille02 07.08.15 - 17:35

    George99 schrieb:
    --------------------------------------------------------------------------------
    > Und damit wäre das Problem ja auch gelöst. Nur wenn die Hersteller partout
    > dem Kunden kein Update auf 4.4 anbieten wollen, kann Google da auch nichts
    > für.

    Sie können oft nicht mal, da es vom SoC Hersteller nur ein Image für x.y gibt. Und doch Google kann etwas dafür. Die Hersteller müssten schon eine liste an Bedingungen erfüllen, damit die Geräte auf den Playstore zugreifen dürfen. Eine Regelung zu Upgrades wäre kein Problem gewesen. Wie schon gesagt wurde, Google und den Herstellern sind die Kunden scheiß egal. Die Geräte sind verkauft.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. NETZSCH-Gerätebau GmbH, Selb
  2. awinia gmbh, Freiburg
  3. AKDB, München, Regensburg
  4. Witt-Gruppe, Weiden in der Oberpfalz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bug Bounty Hunter: Mit Hacker 101-Tutorials zum Millionär
Bug Bounty Hunter
Mit "Hacker 101"-Tutorials zum Millionär

Santiago Lopez hat sich als Junge selbst das Hacken beigebracht und spürt Sicherheitslücken in der Software von Unternehmen auf. Gerade hat er damit seine erste Million verdient. Im Interview mit Golem.de erzählt er von seinem Alltag.
Ein Interview von Maja Hoock

  1. White Hat Hacking In unter zwei Stunden in Universitätsnetzwerke gelangen

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

  1. Karlsdorf-Neuthard: Telekom beim Vectoring-Ausbau von Gemeinde behindert
    Karlsdorf-Neuthard
    Telekom beim Vectoring-Ausbau von Gemeinde behindert

    Die Deutsche Telekom sieht sich von der Gemeinde Karlsdorf-Neuthard aktiv im Vectoring-Ausbau benachteiligt. Von einem nachträglichen Überbau der kommunalen Glasfaser könne keine Rede sein.

  2. Zotac Zbox Mini: Winzige PCs fürs Büro und Grafikerstudio sind 3 cm dick
    Zotac Zbox Mini
    Winzige PCs fürs Büro und Grafikerstudio sind 3 cm dick

    Computex 2019 Zotac will möglichst viel Hardware in seine knapp 3 cm dicken Gehäuse stecken und diese Zboxen auf der Computex 2019 zeigen. Bisher ist allerdings noch nicht viel darüber bekannt. Bilder geben viele Anschlüsse preis. Außerdem sind Intel-Prozessoren und Nvidia-GPUs bestätigt.

  3. Fujifilm GFX 100: Fuji bringt eine 100-Megapixel-Mittelformatkamera heraus
    Fujifilm GFX 100
    Fuji bringt eine 100-Megapixel-Mittelformatkamera heraus

    Da ist sie endlich: Auf der Photokina 2018 hatte Fujifilm seine Mittelformatkamera mit 100-Megapixel-Sensor und 4K-Videoaufnahme angekündigt. Inzwischen ist sie marktreif und in Kürze erhältlich.


  1. 17:50

  2. 17:30

  3. 17:09

  4. 16:50

  5. 16:33

  6. 16:07

  7. 15:45

  8. 15:17