1. Ohne Updates geht es nicht
In der Artikelserie »Android unter Kontrolle« wollen wir euch, wie schon in Teil 1 beschrieben zeigen, wie ihr die größtmögliche Kontrolle über eure Daten auf eurem (nichtgerootetem) Smartphone zurückerlangt. Damit ihr die Kontrolle auch behaltet, ist jedoch nicht nur Disziplin und die korrekte Handhabung der Tools wie NetGuard gefragt (auf das wir in einem späteren Artikel näher eingehen werden).
Vielmehr ist unserer Ansicht nach für das Behalten der Kontrolle eine weitere essenzielle Voraussetzung, dass euer Android-System stets auf dem neuesten Stand ist.
Daher wollen wir uns im vorliegenden Artikel mit der oftmals unterschätzten Thematik der Update-Problematik bei Android-Smartphones befassen. Diesbezüglich wollen wir auch aufzeigen, weshalb ein aktuelles System (eigentlich) eine Grundvoraussetzung für unser Vorhaben ist.
Update
16.06.2017: Dieser Beitrag dient in erster Linie der Sensibilisierung für die Update-Problematik in der Android-Welt. Die Installation eines Custom-ROMs ist KEINE zwingende Voraussetzung, um der Artikelserie auch weiterhin folgen zu können. Wir wollten die Update-Problematik im Zusammenhang der Artikelserie dennoch beleuchten und euch vor Augen führen, wie wichtig ein aktuelles (Android-)System ist.
- Your Phone Your Data (light) – Android unter Kontrolle Teil1
- Die Update-Problematik bei Android – Android unter Kontrolle Teil2
- F-Droid und App-Alternativen – Android unter Kontrolle Teil3
- NetGuard Firewall – Android unter Kontrolle Teil4
- Konfigurationsempfehlungen – Android unter Kontrolle Teil5
2. Die Wurzel allen Übels: Schwachstellen
Wie sagt man so schön:
Ein Mensch ist nicht perfekt. Jeder Mensch hat deshalb Schwachstellen und macht Fehler.
Im Fußball werden bspw. Fehler in der Abwehr (defensive Schwachstellen) meist schnell von den Gegenspielern erkannt und ausgenutzt. Ein Fehler im »(Spiel-)System« genügt deshalb oftmals, um ein Match zu entscheiden.
In der Informatik ist es ähnlich. Auch hier reicht im Prinzip eine Schwachstelle in einem IT-System aus, um das »Spiel« zu verlieren.
Eine (IT-) Schwachstelle kann wie folgt beschrieben werden:
Schwäche eines Systems, an dem es verwundbar sein kann und dadurch einen Angreifer u.a. in die Lage versetzt, Sicherheitsmechanismen zu umgehen, Systemkomponenten zu ändern oder den Nutzer / das System zu täuschen.
Schwachstellen in Soft- / Hardware stellen daher vielfach eine Bedrohung für die Sicherheit eines Computersystems bzw. für die auf diesem befindenden Informationen dar. Derartige Schwachstellen entstehen oftmals im Entwicklungsprozess von Software, wobei die Gründe für diese Schwachstellen vielfältig sein können:
- Zunehmende Komplexität von Software (unübersichtlicher Code und damit eine fehlerhafte Programmierung)
- Fehlerhafte Interaktion zwischen den auf dem System verwendeten Softwareprodukten untereinander oder zwischen Soft- und Hardware
- Unzureichende Kenntnisse in der sicheren Programmierung
- Kein oder ein nur unzureichendes Qualitätsmanagement beim Hersteller
- Vernachlässigung einer »sicheren Programmierung« aus Kompatibilitätsgründen
- Veröffentlichung »halbfertiger Produkte« zur Wahrung finanzieller Interessen bspw. von Investoren
- […]
Grob geschätzt produziert ein Entwickler, der ja auch nur ein Mensch ist, auf 1000 Codezeilen zwischen 0,5 bis 3 Programmierfehler. Viele der in den teilweise Millionen Zeilen Code enthaltenen Fehler werden jedoch nie entdeckt oder wirken sich nicht negativ auf die Sicherheit bzw. Funktion aus. Manche Fehler erzeugen aber auch schwerwiegende Sicherheitslücken, ohne jedoch direkt die Funktion der Software zu beeinträchtigen. Daher finden Entwickler diese auch oftmals nicht. Vielmehr »schlummern« sie lange Zeit unerkannt im System / der Software.
2.1 Was hat das nun alles mit Android zu tun?
Man sollte sich immer wieder klarmachen, dass auch Betriebssysteme wie Android hochkomplexe Software sind. Deshalb ist es auch nicht weiter verwunderlich, dass auch bei Android immer wieder neue Schwachstellen auftauchen, die ernste Sicherheitslücken nach sich ziehen und Millionen von Geräten bzw. deren Nutzer bedrohen.
Prominente Sicherheitslücken aus dem Android-Universum sind bspw.:
- Stagefright (CVE-2015-1538, CVE-2015-3864, etc.): Von dieser Sicherheitslücke sind alle Android-Versionen zwischen 2.2 bis zur Version 5.1.1 betroffen. Um die Lücke im Android-Multimedia-Framework auszunutzen, genügt es dem Angreifer, seinem Opfer eine entsprechende MMS- oder Hangouts-Nachricht zu schicken, in dem sich der Schadcode befindet. Meist wird der Schadcode direkt beim Empfang der MMS ausgeführt und provoziert damit einen Buffer-Overflow auf dem sog. Heap-Speicher des Systems. Nach einem solchen erfolgreichen Angriff ist der Angreifer dann in der Lage, bspw. alle Gespräche zu belauschen, Video-Mitschnitte anzufertigen oder hat vollen Zugriff auf die Mediengalerie. Wer meint, dass die Stagefright-Lücken ausschließlich nur im Jahre 2015 gefunden und längst geschlossen seien, der dürfte schnell eines Besseren belehrt werden. Denn noch immer werden Schwachstellen in der bei Stagefright ausgenutzten Multimedia-Komponente von Android entdeckt – die letzte, diesbezüglich geschlossene Stagefright-Sicherheitslücke (CVE-2017-0637) stammt aus dem Juni 2017.
- WebView-Bug (CVE-2014-6041): Angreifer können unter Android 4.3 und niedriger, Inhalte anderer Webseiten abgreifen, Apps installieren oder die Kamera anzapfen. Problematisch ist diese Sicherheitslücke aber gerade deshalb, weil die WebView-Komponente nicht ausschließlich vom Browser benutzt wird, sondern auch von installierten Apps, um bspw. Werbebanner anzuzeigen. Für die Sicherheitslücke hat Google für Android 4.3 und die Vorgängerversionen keine Patches mehr bereitgestellt. Letztendlich hilft deshalb nur der Umstieg (falls möglich) auf eine höhere Android-Version.
Für beide Sicherheitslücken existieren fertig anwendbare und im Internet frei verfügbare Exploits, die es bspw. mittels Tools wie Metasploit ermöglichen, ungeschützte bzw. veraltete Android-Versionen über diese Schwachstellen anzugreifen.
In Anbetracht dieser und weiterer bekanntgewordenen Schwachstellen stellt sich die Frage, wie sich ein Android-Nutzer vor diesen bekanntgewordenen Lücken (nachträglich) schützen kann. Im Prinzip ist die Antwort darauf ganz einfach. Der wirkungsvollste Schutz gegen bekanntgewordene Sicherheitslücken ist ein regelmäßiges Updaten des Systems.
Doch gerade im Android-Universum stoßen wir hierbei auf ein großes Problem.
2.2 Regelmäßige Updates
Wie auch die durch Google durchgeführte Umfrage von »Sicherheitsexperten« belegt, stellt das regelmäßige Einspielen von (System-) Updates (vermeintlich) eine sehr wichtige Maßnahme gegen bekannte bzw. bekanntgewordene Sicherheitslücken dar. Wie diese Umfrage jedoch auch zeigt, findet diese eigentlich nachvollziehbarste Schutzmaßnahme, bei einem durchschnittlichen Anwender noch immer zu wenig Beachtung. Das hat zur Folge, dass Angreifer erfolgreich und ohne viel Aufwand betreiben zu müssen, meist alte, bekannte Sicherheitslücken in Software ausnutzen, die vom Hersteller des Betriebssystems eigentlich durch entsprechende Updates längst geschlossen wurden.
Gerade weit verbreitete Softwareprodukte wie Betriebssysteme (insbesondere Windows und Android), Internet-Browser (wie Firefox, Chrome, Safari), Java, Adobe PDF-Reader, Flash oder Microsoft Office sind beliebte Angriffsziele und häufige Einfallstore für Schadsoftware, insbesondere wenn bei ihnen keine aktuellen Patches bzw. Updates eingespielt wurden.
Ein aktuelles und prominentes Beispiel, das die Nachlässigkeit einiger Nutzer eindrucksvoll vor Augen führt, ist der Erpressungstrojaner WannaCry. Dieser konnte sich insbesondere deshalb so weit verbreiten, weil viele Nutzer den relevanten, von Microsoft zur Verfügung gestellten Patch nicht (rechtzeitig) eingespielt haben.
Es mag abgedroschen klingen, aber letztendlich gilt für das Updaten von Software immer eine einfache aber umso bedeutsame Regel:
Wenn du etwas installiert hast, dann update es auch.
Die Verantwortung regelmäßig (Sicherheits-) Updates einzuspielen, liegt deshalb grundsätzlich beim Anwender bzw. Administrator des Systems und kann auch nicht durch den Einsatz etwaiger »Schutzsoftware«, wie bspw. Antiviren-Scanner oder Firewalls ersetzt bzw. kompensiert werden.
Wer sich dieser Verantwortung bewusst ist und daher versucht, sein Android-Gerät regelmäßig und besonders auch nach neuen auf Heise und Co. gelesenen »Hiobsbotschaften« zu updaten, der erlebt nicht selten eine böse Überraschung.
3. Android und die Update-Problematik
Wir sagen es einfach mal ganz unverblümt heraus: Die allermeisten Android-Smartphones haben ein gravierendes Sicherheitsproblem, aufgrund ausbleibender bzw. nicht installierter Sicherheitsupdates.
Das liegt jedoch weniger an Google, die inzwischen mindestens monatlich Sicherheitsupdates veröffentlichen. Vielmehr liegt es an den herstellerspezifischen Androidversionen. Einige Smartphone-Hersteller, die auf den von ihnen hergestellten Smartphones modifizierte Android-Versionen verwenden, schaffen es oftmals nicht, diese Updates in ihren Systemen zu implementieren und zeitnah auszuliefern. Es kommt sogar bei manchen Herstellern vor, dass sie dem Nutzer schlichtweg gar keine Updates zur Verfügung stellen.
Die von uns thematisierte Update-Problematik betrifft daher insbesondere ältere oder günstige Android-Smartphones, die von den Herstellern nicht (mehr) gepflegt werden und auch keine Sicherheitsupdates (mehr) erhalten.
3.1 Sicherheitspatch-Ebenen
Seit gut einem Jahr veröffentlicht Google monatlich Sicherheitsupdates inklusive einem Bericht, welche Schwachstellen durch die Updates nun geschlossen wurden. Google supported Google-Android-Geräte aktuell bis zur Android Version 4.4.4 (KitKat) mit Sicherheitspatches. Dass ein Patchday auch mal sehr umfangreich ausfallen kann bzw. sehr viele Lücken geschlossen werden, wird schnell deutlich, wenn man sich die Google-Updates im Juni 2017 anschaut.
So hat Google im Monat Juni 2017 insgesamt 101 Schwachstellen geschlossen, von denen 29 Lücken mit dem Bedrohungsgrad »kritisch« und 29 mit »hoch« eingestuft wurden.
Eine der geschlossenen Schwachstellen klaffte mal wieder im vorstehend genannten Multimedia-Framework (CVE-2017-0637, Stagefright). Es ermöglichte einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes im Kontext des Kernels und damit letzten Endes die komplette Übernahme des betroffenen Systems. Wer also bspw. eine entsprechend präparierte Mediendatei auf seinem Android Gerät abspielt, kann im schlimmsten Falle die komplette Kontrolle über sein System verlieren. Ein solcher Kontrollverlust würde natürlich konträr zu unserem, in dieser Artikelserie ausgegebenen Ziel der Wiedererlangung und dem Behalten der Kontrolle über unser Android-Smartphone stehen.
Gleichzeitig mit den monatlichen Sicherheitsupdates veröffentlicht Google auch Updates für seine aktuelle Nexus- bzw. Pixel-Reihe. Das bedeutet, diese Geräte erhalten direkt mit der Veröffentlichung der Patches die Möglichkeit zum Update. Ältere Nexus-Modelle, wie das Nexus 4 oder das Nexus 7 aus dem Jahr 2012 werden von Google hingegen nicht mehr mit Sicherheitsupdates versorgt, obwohl auf beiden offiziell Android 5.1.1 noch lauffähig ist.
Laut dieser Übersicht sollte das Nexus 5 aus dem Jahr 2015 eigentlich noch mit Sicherheitsupdates versorgt werden. Denn Google gibt an:
Für Nexus-Geräte werden Sicherheitsupdates mindestens für einen Zeitraum von drei Jahren ab der Aufnahme des Produkts in den Google Store oder mindestens für einen Zeitraum von 18 Monaten nach der Auslistung aus dem Google Store bereitgestellt – je nachdem, welcher Zeitraum länger ist.
Wann auch immer dieser Hinweis hinzugefügt wurde, er gilt offenbar (wie wir aus eigener Erfahrung berichten können) nicht mehr für ältere Geräte, wie das Nexus 5.
3.2 Sicherheitsstatus abfragen
Wenn ihr durch unsere vorherigen Ausführungen für die Notwendigkeit des Einspielens von Updates sensibilisiert worden sein solltet und den aktuellen Sicherheitsstaus bzw. Patch-Ebene von eurem Gerät erfahren möchtet, dann geht wie folgt vor:
Öffnet die »Einstellungen -> Über das Telefon -> Android-Sicherheitspatch-Ebene«. Ab Android 5.0 und höher bekommt ihr darüber meist das Patch-Level angezeigt. Im Idealfall steht dort bei euch der aktuelle Monat gefolgt vom aktuellen Jahr:
So wie auf dem Screenshot sollte es bei euch besser nicht aussehen. Denn es wird schnell deutlich, dass das Patch-Level des Geräts, auf dem dieser Screenshot entstanden ist, auf dem »Patchstand« von November 2016 ist. Bei diesem Gerät handelt es sich um eines von Mikes Testgeräten, auf denen er auch mal gerne den ein oder anderen Exploit ausprobiert / testet.
3.3 Zwei-Klassen-Gesellschaft
Durch die vorstehenden Ausführungen sollte deutlich werden, dass es sich bei Android eigentlich um eine »Zwei-Klassen-Gesellschaft« handelt.
So gibt es auf der einen Seite aktuelle (Google-)Nexus- bzw. Pixel-Geräte, die von Google zeitnah die Sicherheitsupdates erhalten. Auf der anderen Seite gibt es dann aber auch Geräte anderer Hersteller, bei denen die von Google herausgegebenen Updates zum Teil mit merklicher Verzögerung »ausgerollt« werden oder insbesondere für ältere Geräte gar nicht mehr zur Verfügung stehen.
Und schlimmer noch: Viele Hersteller geben auch keine Auskunft über den Zeitraum, in dem sie ihre Geräte bzw. die Android-Software aktualisieren bzw. der Nutzer damit rechnen kann, mit Sicherheitsupdates versorgt zu werden. Dieses Vorgehen ist in Anbetracht der heutigen Problematik, die mit Sicherheitslücken einhergehen, nicht mehr zeitgemäß und sollte von den Herstellern schnellstmöglich überdacht werden.
Nach unserer Auffassung sollten Geräte (und das gilt insbesondere auch für IoT-Geräte) mindestens 3 besser aber bis zu 5 oder 10 Jahren mit Sicherheitsupdates versorgt werden. Ein Hersteller, der transparent mit einem solchen Support wirbt und dann auch tatsächlich seine Geräte über die entsprechenden Jahre hinweg mit aktuellen Sicherheitsupdates versorgt, könnte sich damit positiv von anderen Herstellern abheben.
3.4 Versorgung mit Updates
Nach gut einem Jahr sollte man meinen, dass sich der von Google vorgegebene Zyklus der monatlichen Sicherheits-Patches in der gesamten Android-Welt herumgesprochen hat und sich alle Hersteller (mit eigenen Hersteller-Android-Versionen) durch Anpassung ihrer »Workflows« entsprechend darauf eingestellt haben. Sie sollten dadurch in der Lage sein, ihre Geräte zeitnah mit den notwendigen Updates zu versorgen bzw. die entsprechenden Sicherheitspatches dem Nutzer zur Verfügung zu stellen.
Größere, namhafte Hersteller wie Samsung, HTC oder Sony veröffentlichen nun auch tatsächlich regelmäßig Sicherheitsupdates, allerdings oftmals nur für ihre aktuellen »Top-Geräte«. Daraus folgt mithin, dass je teurer und neuer das Gerät ist, umso größer ist die Chance auf ein zeitnahes Update. Doch auch bei den Top-Geräten dieser Hersteller kommt es immer wieder vor, dass monatelang kein Update erscheint. Dem Anwender bleibt dann (wie Nutzern mit anderen Google-Smartphones) nichts anderes übrig, als sich in Geduld zu üben und zu hoffen, dass er nicht angegriffen wird.
Denn selbst wenn Google regelmäßig Sicherheitsupdates bis hinunter zur Android Version 4.4.4 (KitKat) veröffentlicht, bedeutet das noch lange nicht, dass diese Patches auch jedes Gerät erreichen. Denn weil ein Hersteller das Original Android-System in der Regel so verändert hat, dass es erheblich vom ursprünglichen System abweicht, können Nutzer nicht selbständig etwaige Updates einspielen. Vielmehr sind sie dabei auf die Mithilfe der Hersteller angewiesen. Oder anders ausgedrückt, sie sind diesbezüglich vom Hersteller vollends abhängig!
Damit liegt es einzig und alleine am Hersteller, ob er »sein« Gerät mit den entsprechenden Updates versorgt. So kann es durchaus vorkommen, dass ein Hersteller, weil das Gerät bspw. keinen Gewinn mehr abwirft, vielleicht bereits nach einem halben Jahr keine Beachtung mehr schenkt. Der Leidtragende ist in solchen Fällen letztendlich immer der Anwender, der sein Gerät, so gerne er es auch möchte, nicht adäquat updaten / patchen kann. Außer einer Beschwerde beim Hersteller bleibt ihm dann oftmals nur der Erwerb eines neuen Geräts, wenngleich das»Alte« eigentlich technisch noch immer einwandfrei funktioniert.
Was kann man also tun, wenn man sein altes Gerät auf den neuesten Stand bringen möchte, der Hersteller allerdings gar nicht bzw. nur alle »Jubeljahre« Sicherheitsupdates bereitstellt?
4. Ein Ausweg aus der Update-Problematik
Für einen Großteil der heute noch verwendeten, aber nicht mehr supporteten Android-Geräte ist es mehr als unwahrscheinlich, dass diese noch mit aktuellen Sicherheitsupdates von den Herstellern versorgt werden.
Von vielen Herstellern im Stich gelassen, müssen wir als Android-Nutzer also nach Alternativen Ausschau halten, um die leidige Update-Problematik in den Griff zu bekommen. Nach unserer Auffassung können die Sicherheitsupdates jedenfalls für bekanntgewordene Sicherheitslücken durch nichts ersetzt bzw. kompensiert werden.
4.1 Custom-ROM: LineageOS
Offiziell werden Android-Smartphones mit einem sog. Stock-ROM ausgeliefert, das von Werk ab vorinstalliert ist und meist unterschiedliche Modifizierungen und Erweiterungen der Gerätehersteller beinhaltet. Wie aufgezeigt, werden viele dieser Stock-ROMs insbesondere im Hinblick auf Sicherheitsupdates, von vielen Herstellern allerdings meist nur stiefmütterlich behandelt und irgendwann sogar komplett verstoßen.
Das bedeutet nochmals zusammengefasst, dass in den meisten Android-Geräten etliche kritische Sicherheitslücken klaffen, die aufgrund ausbleibender Sicherheitsupdates bzw. Updates der Stock-ROMs nicht geschlossen werden können.
Doch in der Android-Welt existiert dafür oftmals eine Alternative: Sogenannte Custom-ROMs. Diese ROMs werden meist von privaten, nicht von kommerziell motivierten Interessen getriebenen Entwicklern, für die unterschiedlichsten (alten) Geräte bereitgestellt.
Das prominenteste Custom-ROM ist LineageOS, der direkte Nachfolger des bekannten CyanogenMod, dessen Entwicklung Ende 2016 eingestellt wurde. Der große Vorteil von Custom-ROMs und insbesondere LineageOS ist die zeitnahe Bereitstellung von Sicherheitsupdates für sehr viele ältere Geräte und damit auch für Geräte, die von den Herstellern schon längst nicht mehr mit Updates versorgt werden. Ein Custom-ROM wie LineageOS bietet deshalb die Möglichkeit, auch in die Jahre gekommene Geräte mit aktuellen Sicherheitsupdates und neuen Android-Versionen zu versorgen.
Das ist allerdings nicht der einzige Vorteil, den Custom-ROMs bieten. Häufig sind Custom-ROMs deutlich »schlanker« und performanter als die Stock-ROMs, da sie auf die Hersteller-Bloatware, wie vorinstallierte Apps und Services, verzichten.
4.2 Wechsel zu einem Custom-ROM
Der Wechsel zu einem Custom-ROM wie LineageOS besteht meist aus drei Schritten:
- Entsperren / Unlock des Bootloaders
- Flash eines Custom-Recovery
- Installation des Custom-ROM LineageOS (Liste mit unterstützten Geräten)
Wir werden an dieser Stelle nicht im Detail auf die notwendigen Schritte eingehen, sondern auf weitere Anleitungen und Informationen verweisen:
- Schritt 1: Entsperren / Unlock des Bootloaders (bitte nicht mit dem Rooten eines Geräts verwechseln!)
- Schritt 2: Flash eines Custom-Recovery (TWRP)
- Informationen: TeamWin Recovery Project (TWRP)
- Installationsanleitung (englisch): How to Install TWRP Recovery via Fastboot On Any Android Device
- Schritt 3: Installation des Custom-ROM LineageOS
- Bebilderte Anleitung, die nicht nur die Installation von LineageOS beschreibt, sondern auch die Schritte 1 und 2 umfasst: Anleitung: Lineage OS auf dem Smartphone installieren
Ausschlaggebend für unsere Empfehlung von LineageOS ist die hohe Verfügbarkeit für einen Großteil der Android-Geräte. Nur so schaffen wir es, möglichst viele Anwender zu erreichen, die sich die »Datenherrschaft« bzw. die Kontrolle auf ihrem Gerät zurückerobern wollen.
Hinweis
Wir werden im Rahmen der Aktualisierung der Artikelserie »Your phone – Your data« alle notwendigen Schritte zur Installation von LineageOS beschreiben. Wann die Aktualisierung der Artikelserie von uns durchgeführt wird, können wir derzeit noch nicht absehen.4.3 LineageOS aktuell halten
Mit dem Wechsel auf das LineageOS ist es natürlich nicht getan. Es gilt vielmehr auch hier, das System stets auf aktuellem Stand zu halten. Der Update-Vorgang besteht meist aus zwei Schritten:
Schritt 1: LineageOS (LOS) Updater starten:
- Navigiert zu »Einstellungen -> Über das Telefon -> LineageOS Updates«
- Herunterladen der aktuellsten Version.
- Nach dem erfolgreichen Download wird euch das System fragen, ob ihr den Recovery-Mode (TWRP) booten wollt. Dies solltet ihr bejahen.
- Euer Gerät wird neu starten und TWRP aufrufen.
Schritt 2: Update über TWRP einspielen:
- Optional, aber empfehlenswert: Ihr solltet über das Menü »Backup« zunächst eine Sicherung anlegen und auf eurem Rechner speichern, falls der Update-Vorgang in irgendeiner Weise fehl schlägt.
- Um den Update-Vorgang zu starten wählt ihr »Install« aus.
- Wählt die ZIP-Datei, die der LOS-Updater gerade heruntergeladen habt. Die Datei liegt üblicherweise unter: »/data/data/org.lineageos.updater/app_updates/lineage-x.x-xxx.zip«.
- Bei Bedarf: Entfernt das Häkchen bei »Zip signature verification«. Die Updates bzw. ZIP-Dateien werden häufig ohne MD5-Datei ausgeliefert, die die Integrität sicherstellen könnte – ärgerlich.
- Bestätigt den Flash-Vorgang indem ihr über den Bildschirm wischt »Swipe«.
- Je nach Gerät nimmt der Vorgang dann bis zu fünf Minuten in Anspruch.
- Nachdem der Flash-Vorgang abgeschlossen ist könnt ihr »Reboot System« auswählen.
- Der Reboot wird länger dauern als gewohnt, da LOS das System updaten wird.
- Wenn alles geklappt habt, dann habt ihr wieder ein aktuelles System, auf dem alle von euch installierten Apps und vorgenommenen Systemeinstellungen unverändert geblieben sind.
4.4 Garantie und Gewährleistung
Fast alle Gerätehersteller warnen explizit vor dem Entsperren des Bootloaders. Ihr solltet diese geräte- bzw. herstellerspezifischen Hinweise in jedem Fall auch beachten. So weisen die Hersteller bspw. darauf hin, dass mit dem Entsperr-Vorgang sämtliche Daten vollständig gelöscht werden – was auch so stimmt und ihr beachten solltet.
Viele der Hersteller garnieren ihre Warnhinweise zusätzlich mit Formulierungen, wie:
»Wenn Sie Ihr Gerät »entsperren« verlieren sie automatisch die Garantie.«
Manche Hersteller gehen sogar noch weiter und schreiben, dass man mit dem Entsperren des Gerätes, gleichzeitig auch die Gewährleistung verliert. Naturgemäß wird hierdurch der Anwender zunächst einmal verunsichert und nimmt Abstand vom Entsperren des Gerätes.
Wir können euch leider keine Auskunft darüber geben, wie Hersteller / Händler reagieren, wenn sie ein Gerät eingesendet bekommen, dass noch in der Gewährleistungszeit ist, allerdings ein Custom-ROM aufgespielt hat. Je nach Hersteller / Händler wird hier vermutlich ganz unterschiedlich verfahren. Folgendes gilt in diesem Zusammenhang:
Wenn ihr ein Custom-ROM einspielt, verliert ihr (je nach Hersteller und Herstellererklärung) eure Ansprüche auf die freiwilligen Garantien des Herstellers. Davon streng zu trennen ist aber die Gewährleistung, die man so einfach nicht verliert. Denn grundsätzlich hat das Entsperren des Bootloaders ja keine Auswirkungen auf die Hardware, für die die Gewährleistung primär gilt.
Doch diesbezüglich ein Hinweis: Es soll Geräte (Samsung Knox) geben, bei dem der Unlockvorgang auch mal ein paar Dioden / Kontakte des Gerätes durchschmilzen lässt. In einem solchen Fall lässt sich natürlich sehr gut streiten, ob der Nutzer, weil ja dann eine (wie auch immer geartete und nachweisbare) Hardwareveränderung eingetreten ist, nicht sogar die Gewährleistung verliert.
Wie Gerichte diese Fälle beurteilen würden, ist uns nicht bekannt, da wir keinen Fall kennen, in dem diese »Praxis mancher Hersteller« mal gerichtlich thematisiert wurde.
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
4.5 Ein neues Smartphone steht an?
Die Installation eines Custom-ROMs ist nach unserer Auffassung aber nicht das Einzige was ihr tun könnt. Wenn ihr euch in Zukunft ein neues Android-Gerät zulegen wollt, solltet ihr gerade darauf achten, ob sich ein Hersteller hinsichtlich der Update-Thematik geäußert hat bzw. angegeben hat, wie lange das von euch ins Auge gefasste Gerät mit Sicherheitsupdates versorgt werden soll.
Eine Übersicht aller Hersteller und Geräte können wir euch aufgrund der Komplexität an dieser Stelle leider nicht bieten. Daher solltet ihr euch vor dem Erwerb eines neuen Smartphones beim Händler eures »Vertrauens«, im Internet informieren oder vielleicht selber, direkt beim Support der Hersteller nachfragen, falls diese keine offiziellen Angaben zu ihrer Update-Politik getätigt haben.
5. Das Updaten und der Bezug zur vorliegenden Artikelserie
In der Artikelserie »Android unter Kontrolle« wollen wir euch zeigen, wie ihr die größtmögliche Kontrolle über euer Android-Gerät und damit über eure Daten erlangt. Ein Android mit aktuellem Patch-Level ist dafür zunächst eigentlich keine zwingende Voraussetzung. Allerdings stellt ein aktuelles Betriebssystem aus unserer Sicht eine zwingende Notwendigkeit zur Gewährleistung eines ausreichenden Sicherheitsniveaus und damit letzten Endes zum Behalten der »Kontrolle« / Datenherrschaft dar.
Denn wenn ihr es erst einmal geschafft habt, eine größtmögliche Kontrolle über euer Android-Gerät zu erlangen, dann gilt es, diese im Idealfall auch zu behalten und nicht aufgrund klaffender Sicherheitslücken leichtfertig aufs Spiel zu setzen.
Anmerkung: Wir wissen auch, dass nicht jeder in der Lage ist, ein Custom-ROM einzuspielen. Sei es aus Angst, aus fehlendem technischem Verständnis oder einfach weil für das Gerät kein Custom-ROM angeboten wird. Ihr könnt die von uns in den nachfolgenden Artikeln vorgestellten Tipps natürlich auch auf diesen Smartphones umsetzen.
Doch ihr solltet euch in diesem Falle noch viel mehr dem Risiko bewusst sein, dass ihr auf dem nicht mehr aktuellen Gerät ein noch leichteres Ziel für Angreifer bietet. Wir wollen es nicht beschönigen: Je nach Sicherheitslücke droht im schlimmsten Fall der komplette Kontrollverlust über das Android-System und damit eure Daten. Daher ist es in diesen Fällen umso wichtiger, dass ihr noch vorsichtiger und umsichtiger mit diesen Android-Smartphones umgeht und insbesondere nicht auf alles klickt oder alles installiert, »was bei Drei nicht auf den Bäumen ist«.
Und noch eine Anmerkung: Nach unser Ansicht kann es keine »IT-Sicherheit« ohne »Datenschutz« und auch umgekehrt geben. Beides muss vielmehr »Hand in Hand« gehen.
Mit dem vorliegenden Artikel und mit allen weiteren Artikeln wollten wir dafür nochmal das Bewusstsein schaffen. Denn all unsere Anstrengungen zu mehr »Datenschutz« sind nur dann sinnvoll, wenn sie später bspw. nicht einfach durch die Ausnutzung von bekannten Sicherheitslücken ausgehebelt werden.
6. Fazit
Viele Anwender stecken in einem Dilemma: Sie können ihr Android-Smartphone nicht updaten, obwohl sie es gerne tun würden. Google selber liefert zwar monatlich Sicherheitsupdates aus. Doch viele Smartphone-Hersteller rollen diese auf den von ihnen modifizierten Android-Versionen entweder nicht zeitnah aus oder supporten ältere ihrer Geräte einfach nicht mehr. Damit entsteht zwangsläufig ein »Vakuum« in der Android-Welt, das viele oder die meisten Geräte anfällig für kritische Sicherheitslücken macht.
Wie aufgezeigt, lassen sich manche dieser Sicherheitslücken oftmals schon mit dem Aufruf einer Webseite, beim Empfang einer MMS oder Abspielen einer Video- bzw. Audio-Datei »triggern«. Im schlimmsten Fall droht dann eine komplette Systemübernahme durch einen Angreifer, von dem der Anwender u.a. aufgrund des Designs eines Smartphones, in den seltensten Fällen etwas mitbekommen dürfte.
Ein Ausweg aus der Android Update-Problematik finden wir ausgerechnet in der Custom-ROM Szene, die es schafft, selbst ältere Geräte, wie bspw. das Motorola Moto G aus dem Jahr 2013 mit aktuellen Android-Versionen zu versorgen.
Durch den unermüdlichen Einsatz in der Entwicklerszene stehen die von Google bereitgestellten Sicherheitsupdates meist auch relativ zeitnah für dieses alte Gerät zur Verfügung. Das, was also eigentlich die Hersteller leisten sollten, übernehmen freiwillige Entwickler und füllen so das Vakuum in der Android-Welt.
Im kommenden Teil wollen wir uns der »App-Problematik« in Bezug auf ein »kontrolliertes Android-Smartphone« beschäftigen und uns deshalb dem alternativen App-Store F-Droid widmen.
Autoren:
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
LineageOS: Weder sicher noch datenschutzfreundlich – Custom-ROMs Teil4
LineageOS – Take back control! Teil2
/e/: Datenschutzfreundlich bedeutet nicht zwangsläufig sicher – Custom-ROMs Teil6
DivestOS: Datenschutzfreundlich und erhöhte Sicherheit – Custom-ROMs Teil5
iodéOS: Datenschutzfreundlich, aber Abstriche bei der Sicherheit – Custom-ROMs Teil3
21 Ergänzungen zu “Die Update-Problematik bei Android – Android unter Kontrolle Teil2”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Hallo Mike!
Schöner Artikel.
Was man eventuell ergänzen sollte ist das ein aktueller Patchlevel bei einem CustomROM leider nicht bedeutet das alle bekannten Sicherheitslücken geschlossen sind. Die Lücken im Kernel bzw in den Gerätetreibern von Qualcom und co. sind hier nicht miteingeschlossen. Man ist in dem Fall darauf angewiesen dass der Device Maintainer diese Lücken schließt, da sich diese nicht im gemeinsamen Teil von LineageOS und co befinden.
Für LineageOS bietet die Seite https://cve.lineageos.org/ einen Überblick welche Lücken für ein Gerät geschlossen wurden und welche nicht.
Hast du dir eventuell mal für deine eigenen Geräte angesehen wie sich die unterschiedlichen CustomROMs bei den Kernel/Treiber-Lücken schlagen?
Es ist schön zu sehen, dass LineageOS hier für Transparenz sorgt und die Lücken auflistet, jedoch wird mir bei der Liste etwas mulmig. Es gibt nur 2 Geräte mit einem „Patchlevel“ von 100%.
Ja das stimmt. Das können wir noch ergänzen. Unsere Ausführungen bezogen sich ausschließlich auf das OS selbst und nicht auf Kernel- oder Gerättreiber-Lücken, die oftmals je nach Gerät individuell sind. Wenn wir das noch mit einbeziehen, dann wird das Bild von Android im Grunde noch katastrophaler, als es jetzt eigentlich schon ist.
Das zeigt eines aber umso mehr: Wirklich sensible Daten haben auf einem Smartphone im Grunde nichts verloren, bspw. der Private-Key (PGP bzw. GnuPG) zur E-Mail Entschlüsselung bzw. Signatur.
Für wie kritisch hälst du Kernel- oder Gerättreiber-Lücken im Vergleich zu OS-Lücken? Kann ein Smartphone mit wochenaktuellem LineageOS aber z.B. 6 Monate altem Kernel und 2 Jahre alten Gerätetreibern relativ einfach und schnell gehackt werden?
Das hängt immer von der konkreten Lücke ab.
Viele Lücken im Kernel sind „nur“ Privileage-Escalation Lücken, es gibt jedoch auch die einen oder anderen RCEs.
Generell sinkt die Anzahl der Lücken im Usperspace gegenüber dem Kernel und den Gerätetreibern.
Die Antwort auf deine Frage hängt von viele Faktoren ab. Nämlich auch genau davon welche Lücken noch offen sind.
Es ist auch nicht so, dass LineageOS gar keine Lücken im Kernel behebt, es ist jedoch erheblich aufwendiger.
Schöner Artikel, lediglich im Part mit LineageOS kommen mir die Nachteile von LineageOS zu kurz bzw. werden überhaupt nicht erwähnt. Hier insbesondere die Kompatibilität mit einer Vielzahl von Geräten. Denn nur weil es LineageOS für ein System gibt, heißt es nicht dass auch tatsächlich alles funktioniert. Mit meinem Galaxy S4 hatte ich damals massive (noch mit CM) massive Probleme mit der GPS Leistung, der Bluetooth Verbindung und mit der Kamera Qualität. Bei anderen Geräten war dann das WLAN Signal nicht toll oder das Gerät wurde extrem warm. Man hat also unter Umständen ein aktuelles System, dafür funktionieren aber andere wichtige Komponenten nicht mehr. Dies trifft natürlich nicht auf jedes Gerät zu, es aber im Artikel gar nicht zu erwähnen halte ich für falsch.
GPS Probleme beim S4 könnten eher auf das Fehlen der Google Dienste zurückzuführen sein, Kameraqualität ist bei Samsung und Sony Geräte bei CustomROMs oft sehr eingeschränkt. Falls einem zB die Kameraqualität wichtig ist und man zB ein Samsung Gerät besitzt kann man als Mittelweg einen Touchwiz basierten CustomROM von XDA mit aktuellem Sicherheitspatchlevel verwenden.
Vor allem Samsung Geräte eignen sich oft sehr schlecht für alle AOSP basierten ROMs.
Für AOSP ROMs eignen sich Nexus, Pixel und OnePlus Geräte gut.
Hallo Mike,
diese Serie fing für Smatphone Besitzer vielversprechend an, die aus welchen Gründen auch immer, ihre Geräte bis jetzt nicht gerootet haben. Meiner Meinung nach ist es zu befürchten, dass dieser Personenkreis Null Ahnung von Begriffen wie Bootloader entsperren, Custom-Recovery, usw. hat. Daher ist es zu befürchten, dass die ab der zweiten Hälfte des sehr gut gelungenen Artikels einfach abschalten.
Als Samsung Besitzer einige Tipps:
Innerhalb des Samsung Kontos habe ich den Bootloader geöffnet. Danach habe ich das Konto gelöscht.
In Youtube habe ich ein Video gefunden, wie man
Bloatware von seinem Smartphone ohne Rooten entfernen kann.
Mit Hilfe der vorgestellten Software habe ich die ganze KNOX Gruppe deaktiviert (eingefroren),
und erst danach mit dem ganzen Rooten angefangen, ohne dass sich KNOX irgendwie bemerkbar gemacht hätte.
Es ist desweiteren zu bemerken, dass Lineage OS auf Nougat basiert, wo XPrivacy nicht mehr funktioniert. Daher sollte man die Vor- und Nachteile für sich immer abwägen.
Pierre Laporte
Usw.
Das sehe ich nicht so. Die Begrifflichkeiten sind kurz erklärt. Weitere Informationen erhält man über die eingebauten Links. Wie ich auch schon in der Einstiegshilfe schrieb sollte man als Leser bereit sein, Links zu folgen und sich weiter zu informieren. Wer das nicht schafft, der schafft es auch nicht seine Bequemlichkeit über Bord zu werfen und unserer Reise in die Android-Welt zu folgen.
Und wie im Artikel unter Ziffer 5 auch erwähnt:
Ein Android mit aktuellem Patch-Level ist dafür zunächst eigentlich keine zwingende Voraussetzung. Allerdings stellt ein aktuelles Betriebssystem aus unserer Sicht eine zwingende Notwendigkeit zur Gewährleistung eines ausreichenden Sicherheitsniveaus und damit letzten Endes zum Behalten der »Kontrolle« / Datenherrschaft dar.
Das kann ich gut verstehen ..
.. es muss dann aber auch jedem klar sein, wenn man es nicht auf einfache todo Checklisten die wie ein Kochrezept ausgeführt werden kann ca. 99.1% der Android Nutzer abhängt, weil sie auch wenn sie den Links folgen würden, trotsdem nicht in der Lage sind den Inhalt zu folgen.
Was man dann eben nicht mehr machen darf den ca. 99.1% vor zu werfen ignorant zu sein, einem muss klar sein, das man die Arbeit für ca. 0,9% der Android Nutzer macht
Die Frage ist welches Ziel will man erreichen … wenn es um die 0.9% geht ist alles i.O. :-)
Kochrezepte wurden hier noch nie veröffentlicht. ;-)
Wir adressieren all jene, die bereit sind zu lernen und ihre Bequemlichkeit in Frage zu stellen. Ob das nun 0,9% der Nutzer, oder 5% oder nur 0,001% der Nutzer sind – das liegt nicht in unserer Hand.
Ignoranz haben wir übrigens keinem Android-Nutzer vorgeworfen.
Sehr schöner Artikel, der eines der größten Probleme von Android beleuchtet.
Ein weitere Gedankenpunkt: Netzbetreiber wie die Deutsche Telekom blockieren Updates für Geräte, die zu einem Vertrag vertrieben werden, teilweise zusätzlich noch um mehrere Monate, um ihre „Spezialdienste“ anzupassen.
Hallo,
was mir leider Unbehagen bereitet sind die Google Apps: sofern man nicht auf den PlayStore verzichten kann/will, muss man die GApps aus inoffiziellen Quellen herunterladen und installieren.
Apps also, die Systemrechte haben und aus keiner offiziellen Quelle stammen.
Gefühlt (?) schließt man ein Sicherheitsrisiko und installiert sich das nächste.
Über fdroid am Smartphone den Yalp Store installieren oder am Rechner Raccoon verwenden. Beide ziehen sich die Apps von Google.
Noch besser: nur Apps von fdroid verwenden.
Also ich finde es toll Mike, dass du soviel Mühe auch hier wieder hinein gesteckt hast.
Ich muss zugeben, dass ich nach der Ankündigung auch erwartet hatte,
es werde jetzt eine „Lightweight Beschreibung“ folgen, die im Detail für weniger Geübte oder/und Mutige
einen erleichternden Einstieg in die Problematik im Vergleich zu der vorausgegangenen Serie darstellen würde,
natürlich mit dem Nachteil, dabei nicht das vergleichbare Sicherheitsniveau zu erreichen wie mit einem
entblockten System + Custom ROM.
War wohl ein Missverständnis meinerseits.
Also ich verstehe, dass es letztlich ohne Custom ROM mit allen seinen Voraussetzungen wenig Sinn macht,
es eigentlich daneben keine auch nur annähernd vergleichbare Lösung gibt.
Da bin ich mit meinem HTC Mini 2 nicht gerade in einer guten Startposition, wenn ich das richtig sehe,
zumal ich mir eigentlich keinen längeren Ausfall des Handys derzeit leisten kann und nicht zu den Mutigen oder Experten
zähle.
Aber mit einer Androidversion 4.xx ohne Updateberechtigung führt wohl ohnhin an einem Custom ROM nichts sinnvoll vorbei, oder?
Aus deinen Ausführungen entnehme ich, dass deine Skepsis gegenüber LineageOS, die du mal geäußert hast,
wieder gewichen ist. Hattest du nicht mal Omnirom angedacht?
Zu LineageOS interessant:
LineageOS für Android halte ich für empfehlenswert.
Hi Mike, danke für deinen neuen Artikel.
Darf ich mal ein wenig quer fragen – nicht als Kritik sondern für mich echte Fragen? Bitte nicht hauen!
Offensichtlich ist der Umstieg auf ein Custom ROM mit allen Voraussetzungen dazu mehr oder weniger für sehr viele Nichtexperten kompliziert – und mit einem Crashrisiko behaftet,außerdem ein bisschen aufwändig. Eine echte Alternative dazu scheint es für Android nicht zu geben im Sinne einer guten Liteversion der Problemlösung. Sehe ich doch so richtig, oder?
Was gewinnen wir wirklich an Sicherheit, wenn wir
1. die Hardware nicht in den Griff bekommen können,
zumindest ist mir bisher hierfür noch keine wirkliche Lösung bekannt geworden;
2. selbst bei einem Custom ROM wie LineageOS einiges an nicht ohne weiteres
aktuell schließbaren Sicherheitslöchern verbleibt,
3. vermutlich sehr aus der Masse z.B. der Surfer heraus stechen, also recht auffällig
werden?
Interessant war ein Statement eines (so vorgestellten)Sicherheitsexperten gestern Abend (14.6.) im ZDF anläßlich der derzeitigen neuen/alten Bemühungen der Innenminister, der angab, dass IOS auch aber sehr viel schwerer als Android zu hacken sei. Die Problematik mit Apple ist ja klar – s. z.B. die AGB-Beschreibungen im Privacy-Handbuch. Vielleicht ist aber die Big Brother Lösung Apple trotz mancher schwerwiegenden Bedenken nicht immer nur schlecht(er).
Es ist unwahrscheinlich dass du die Hardware je im Griff haben wirst, schon gar nicht SIM Karte und den Baseband Prozessor.
Ein CustomROM stopft zwar nicht alle Sicherheitslücken, ist jedoch in der Regel besser als der StockROM.
Das herausstechen aus der Masse ist hier ein geringes Problem. Das Hauptproblem sind bekannte Sicherheitslücken. Diese lassen sich zumindest im Userspace mittels CustomROMs schließen.
Als Notlösung sind StockROMs möglich aber nur wenn man regelmäßig updates erhält. Wenn dein Patchlevel 3 Monate oder mehr zurückliegt, ist das Handy reif für einen CustomROM oder den Müll.
iOS ist aus dem Grund schwerer zu hacken, da viele Androidgeräte bekannte Sicherheitslücken aufweisen.
Ein Closed Source Betriebssystem ist sowieso keine Option. Da sollte man besser in ein Nexus oder Pixel investieren und im Idealfall CopperheadOS verwenden.
Der Umstieg auf ein Custom-ROM ist KEINE zwingende Voraussetzung für unsere Artikelserie. Es ist lediglich eine Empfehlung. Weshalb ein Wechsel auf ein Custom-ROM sinnvoll sein kann, haben wir ausführlich dargelegt. Im Übrigen muss man kein Experte sein, sondern einer bebilderten Anleitung folgen können. Wer sich dafür interessiert, der bekommt es (meist) auch hin.
Zu den Punkten:
1. Dafür gibt es bisher auch keine Lösung. Und wie bereits in Beitrag 1 der Serie erklärt, wollen bzw. können wir den Geheimdiensten nicht »entkommen«. Das ist auch nicht das erklärte Ziel der Serie.
2. Gerätespezifische Schwachstellen bleiben auch hier teils offen, ja. Das Android-System (Userspace) an sich ist dann aber zumindest »Up-To-Date«.
3. Nein – das hat damit erstmal gar nichts zu tun.
Es geht immer um Wahrscheinlichkeiten. Jemand mit einem Patch-Level vom Oktober 2016 ist anfälliger für einen »Hack«, als jemand mit einem aktuellen Patch-Level. Das bedeutet: Jemand mit einem aktuellen Patch-Level reduziert die Wahrscheinlichkeit Opfers eines Angriffs zu werden. Nicht mehr, aber auch nicht weniger.
Bei Apple ist eben alles aus einem Guss – auch die Geräte. Niemand anderes als Apple darf iOS anbieten. Damit ist die Gerätelandschaft weit weniger fragmentiert als bei Android. Das bedeutet: Apple hat es einfacher, für Geräte (auch ältere iPhones) Updates bereitzustellen. Sofern die User diese installieren, ist das vergleichbar mit dem aktuellen Patch-Level eines Android-Phones. Aber auch iOS ist natürlich angreifbar. Nur sagen wir mal so: Die Wahrscheinlichkeit eines »Hacks« bzw. Kompromittierung ist auf Android-Geräten höher, weil die Geräte oftmals ein veraltetes Patch-Level haben.
Hallo Mike,
vielen Dank für Deine kritischen Artikel.
Bitte, verstehe ich Dich richtig, unter den Gesichtspunkten Sicherheit und Privacy sind über aktuelle Sicherheitsupdates verfügende Android- und iOS-Devices etwa gleichwertig?
Da ich die Updatepraxis von Samsung leid bin – mein Samsung Galaxy Tab S 10.5 erhielt zuletzt das Sicherheitsupdate Dezember 2016 und mein Samsung Galaxy Note 4, aktuell Sicherheitsupdate Mai 2017, wird vermutlich nicht mehr lange Sicherheitsupdates erhalten – erwäge ich im Herbst den Wechsel zu iPad und iPhone, für die Apple in der Vergangenheit mindestens 4 Jahre Updates zur Verfügung stellte.
Vermutlich befinden sich weitere Android AnwenderInnen in vergleichbarer Situation.
Vielen Dank.
Viele Grüße
Ulrich
Sicherheit: Ja, wenn wir nur die Systeme betrachten.
Datenschutz: Nein, da hat Apple die Nase vorn. Wenn ich allerdings Android unter meine Kontrolle bringe, dann kann auch Apple bzw. iOS nicht mehr mithalten.
Würde an deiner Stelle nicht zu einem proprietären System wechseln.
Besser CopperheadOS auf Nexus und Pixel Geräten verwenden, damit kann iOS nicht mithalten.
Der oft unterschlagene Riesenvorteil von Nexus und Pixel Geräten ist zudem noch, dass die Geräte dir verified-Boot mit User-Keys erlauben: d.h. du kannst nach dem Installieren von CopperheadOS den Bootloader wieder relocken und Verified Boot checkt dann auf die User-Keys, somit können auch CustomROMs auf Manipulation der Firmware gecheckt werden.