Google: Android inzwischen so sicher wie die Konkurrenz

[m-j-e]

Moin Leute,

Google ist sich sicher, dass Android keinesfalls mehr so anfällig ist, wie viele behaupten.

Google: Android inzwischen so sicher wie die Konkurrenz

MfG Malte

 

[Rosa Elefant]

Der Satz lässt sich natürlich auch genau andersherum verstehen...

 

[shorty2006]

Android spioniert dich, wie jedes andere Betriebssystem, systematisch aus, mal offiziel, mal inoffiziel, wie stark und in welchen Umfang weiß nur der jeweilige Programmierer.
Das war noch nie anders und das wird sich auch nie ändern, denn eine Kontrolle ist zwar auf dem Papier möglich, in der Praxis jedoch nicht.

SO dumm ist doch kein einziger Nutzer und glaubt an ein spionagefreies und sichers Betriebssystem.
Das weiß man aber auch bevor man sich ein iOS- oder ein Windows- oder ein Android-Gerät zulegt.

 

[rudolf]

Mein Android spioniert mich nicht aus. Allerdings waren dazu einige Massnahmen nötig.
( Oder ich bin ich SO Dumm und glaube es nur )

Diese Massnahmen wären bei Apple nicht möglich. Kürzlich sah ich sogar, dass man für Apple kein Open Source Mailprogramm bekommt. Sowas geht für mich gar nicht.

 

[TomHH]

Android wäre so sicher wie die Konkurrenz, wenn die Hersteller auch die angebotenen Patches an die Nutzer weitergeben würden.
Wenn es aber ein halbes Jahr dauert bis Updates verfügbar sind, dann besteht da sehr wohl ein Sicherheitsproblem!

 

[Rosa Elefant]

Daran arbeiten sie doch (seit langem).

 

[TomHH]

LOL - ja, ja. Von den Zombie Phones wollen gar nicht erst reden. Ein, maximal zwei Jahre Updates und dann ist meist Schluss. Wäre toll, wenn man auch dieses Problem mal angehen würde.
Leider werden lieber ständig neue Modelle auf den Markt geworfen als alte gepflegt.
Da sind aber die Nutzer nicht ganz unschuldig. Telefone auf dem heutigen Niveau (Mittelklasse) tun locker 3-5 Jahre ihren Dienst. Telefonieren, Musik hören, Videos schauen - alles kein Problem.

 

[rudolf]

Ich finde diese Diskussion völlig verkehrt. Seit wann ist die Konkurrenz sicher? So ein Quatsch. Oder meint ihr mit sicher, das euer Gerät ganz sicher eure Daten im Netz versprüht. Diese Sicherheit habt ihr

 

[Notefalls]

Jetzt mal ernsthaft: Was ist mit "Sicher" gemeint? Dass die Geräte "Sicherheitspatches" (wofür?) bekommen?
Ich habe in meinem Leben eine (1) echte Sicherheitslücke mitbekommen, und das war der W32.blaster
Alles Andere war mit Brain 1.1 vermeidbar.

 

[syscrh]

Bevor man über Sicherheit spricht, sollte man evtl. erst einmal definieren, was man darunter versteht ...
Soweit ich die "Diskussionen" darum mitbekommen habe, definieren anscheinend viele Leute Sicherheit als "je weniger Lücken bekannt sind, desto sicherer ist das System". Diese "Definition" ist aber völliger Blödsinn, denn die Anzahl der bekannten Sicherheitslücken hängt von vielen Faktoren ab. Z. B.: der Verbreitung (Android ist deutlich verbreiteter als der Rest), der Quelloffenheit (den Quellcode von Android kann jeder einsehen und damit auch lesen und Fehler finden), ...

Das größte Problem bei Android sind meiner Meinung nach die ausbleibenden Updates durch die Gerätehersteller (inkl. Google) (Nexus- und Pixel-Geräte werden nur drei Jahre mit Updates versorgt!). Gäbe es Updates für die Geräte, dann wäre es überhaupt nicht weiter schlimm, auch wenn viele gefährliche Lücken gefunden werden würden. Der Nutzer bekommt den Patch in kurzer Zeit automatisch aufgespielt und ist damit schon nicht mehr angreifbar. Leider ist die Realität ganz anders: Die meisten Telefone bekommen maximal 2 Jahre Updates und die dann auch noch verzögert (das bq Aquaris X aus der Familie ist z. B. immer noch auf dem Patchlevel Dezember 2017 und das im März 2018!).
Technisch gesehen gibt es dafür keinen Grund. Ich hab unter anderem ein Nexus S. Darauf läuft via Custom ROM Android 4.4 und Android 4.4.4 hat bis Oktober 2017 noch Sicherheitspatches von Google bekommen. Sicherheitsupdates auf einem 7 Jahre alten Smartphone? Ja, das gibt es! Leider befürchte ich, dass kein Hersteller diese Patches mehr ausgeliefert hat und damit die Installation dieser Sicherheitsupdates komplett Aufgabe der Community ist. Schade, denn das Nexus S ist auch im Jahr 2018 noch schnell genug für alltägliche Smartphone-Aufgaben.

Lösen kann man die ausbleibenden Updates nur durch
- Standardisierung der ARM-Architektur -> auf jedem Gerät läuft dasselbe OS-Image (ich hab z. B. noch ein Acer TravelMate aus 2005 und darauf läuft momentan ein 32-Bit Debian Buster (also Testing) und natürlich inklusive Sicherheitsupdates!; ähnliches von einem Dell OptiPlex aus 2006: 64-Bit openSUSE Leap 15.0),
- Gesetzliche Verpflichtungen,
denn für die Hersteller der Geräte ist es natürlich nicht rentabel ältere Modelle weiterhin zu pflegen, da man damit ausschließlich Kosten, aber keinen direkten Gewinn hat. Die Folge dieses gewinnorientierten Umgangs mit alter Hardware ist nicht nur ein erhebliches Gefahrenpotential für die Anwender, sondern auch ein ernsthaftes Problem für unsere Umwelt, da Ressourcen unnötig verschwendet werden (Neuproduktion von Telefonen, Smart Home und Fahrzeugen).
Die Herstellersollteihr Geschäft weniger auf den Verkauf von Neugeräten und mehr auf den Vertrieb von Verschleiß- (Akku) und Ersatzteilen (Displays, Gehäuse) richten, ähnlich wie bei manchen PKW-Herstellern.

Aus den ausbleibenden Sicherheitsupdates resultiert dann natürlich ein weiteres Problem: Die Verbreitung von Schadsoftware, welche die bekannten Lücken ausnutzt. Verhindern kann man so etwas nicht, aber man kann das Problem eindämmen:
- Zeitnahe Auslieferung von Sicherheitsupdates.
- Schulung von Medienkompetenz (massiv vernachlässigt in Schulen und anderen Bildungsstätten!), damit die Anwender Schadsoftware von vertrauenswürdiger Software (Quelloffenheit, Geschwätzigkeit, etc.) unterscheiden können.

Den Sündenbock beim AOSP zu suchen halte ich dementsprechend für vollkommend falsch, denn seitens des AOS-Projektes werden monatlich Sicherheitspatches zur Verfügung gestellt, welche möglichst alle bekannt gewordenen Lücken schließen und auch für mehrere Jahre alte Android-Versionen noch zur Verfügung stehen (also auch Geräte ohne Treiber-Updates vom SoC-Hersteller können noch in den Genuss derer kommen).

Zum Abschluss möchte ich noch auf einen Kommentar eingehen ...

Android spioniert dich, wie jedes andere Betriebssystem, systematisch aus,

Woher kommt die Annahme, dass Dich jedes Betriebssystem systematisch ausspioniert?
Hast Du bereits den Netzwerk-Traffic aller verfügbaren Betriebssysteme überwacht? Debian/openSUSE/FreeBSD/etc. spionieren den Nutzer also auch aus? Interessant (denn dort ist ja schließlich die installierte Software sehr variabel) ...

Selbst Android ist ohne Google Dienste nur noch sehr geringfügig geschwätzig (z. B. NTP, Überprüfung ob Internetverbindung vorhanden, etc.) und auch das kann man dem System noch abtrainieren.

Wer ernsthaft gewillt ist datensparsam zu leben, der findet genug vertrauenswürdige Betriebssysteme, welche Datenschutz, Datensparsamkeit und Privatsphäre nicht auf die leichte Schulter nehmen.
Wieso das überhaupt für jeden wichtig sein sollte? Freiheit, Demokratie und Selbstbestimmtheit sind durch Überwachung gefährdet (DDR, China, etc.).

SO dumm ist doch kein einziger Nutzer und glaubt an ein spionagefreies und sichers Betriebssystem.

Glauben kann man in der Kirche.
Fakten sind im IT-Bereich aber das entscheidende und die sprechen ganz klar dafür, dass es derartige Betriebssysteme gibt und es auch für den normalen Anwender weniger gesprächige Alternativen gibt.
Gut, evtl. muss man sich dann noch über die Geschwätzigkeit der Hardware Gedanken machen, aber das stand hier nicht zur Diskussion ...
Zur Not: LAN-Kabel ziehen und Funkmodule abschalten und schon hat man mit sehr hoher Wahrscheinlichkeit sämtlichen Kontakt der Hardware zur Außenwelt unterbunden.

 

[dutchbavarian]

Sicher ist ein komplexes Thema. Grundsätzlich gibt es zwei Seiten: Anwendung und Hersteller. Der Anwender hat leider wenig Ahnung und "Bedürfnis" nach Sicherheit. Das Thema ist ja auch vielschichtig.

Da können die Hersteller mehr machen, wie es Microsoft macht mit dem Windows Defender-System in Windows 10. Bei Android und iOS sind solche Schutzmaßnahmen bedingt nötig da die Architektur des Betriebssystem anders ist (Sandboxed). Allerdings haben Updates des OS schon ein Einfluss auf der "Missbrauchsskala".

Hier eine interessante Übersicht: Smartphone Sicherheitsaktualisierungen -Ein Vergleich zwischen den Herstellern

Android generell als "sicher" zu betrachten ist einerseits richtig und eben auch nicht.

Hierzu folgender Artikel: Androidhersteller belügen Kunden bei Sicherheitspatches - WindowsUnited

Das Risiko "gehackt" zu werden auf einem Handy ist wegen der Architektur schwieriger (außer es ist gerootet). Meistens geht es dann um Phishing. Allerdings kann und soll Google hier weiter ausbauen. Die User kümmern sich nicht darum, auch aufgrund fehlendes technisches Know-How zu dem Thema. Aber sie fangen schon an, wie z.B. mit Google Play Protect. Allerdings sollte dies noch viel weitergehen, ein Schutzsystem für Kinder (wie Microsoft Family), ein Antiviren/Rootkit/Hijacking-Modul, etc. etc.

Mit Android 8 wurde schon das Basisbetriebssystem von der Oberfläche getrennt. Damit kann Google den Core updaten ohne die vom Hersteller angepasste Teile zu überschreiben.

Was das ganze Thema "Telemetry" oder Daten zum Hersteller funken, das wird sicher spannend sobald die DSGVO ab 25.5 in Kraft tritt (nicht das sich ein Chinesischer Hersteller darum scheren würde).

Allerdings ist das alles noch ein weiter Weg..... Am schnellsten wird dieser Weg gehen wenn die Benutzer das Thema Sicherheit" besser verstehen würden.

 

[Notefalls]

Also nie

 

[rudolf]

Das Risiko "gehackt" zu werden auf einem Handy ist wegen der Architektur schwieriger (außer es ist gerootet).

Gerootete Handies sind nicht leichter zu Hacken. Und mann rootet ja nicht als selbstzweck, sondern meist um Sicherheitsfördernde Massnahmen wie Firealls und Backups einzurichten.

 

[Rosa Elefant]

Also ich roote immer nur, um sicherheitsgegnerische Maßnahmen einzurichten.

 

[dutchbavarian]

Also nie

Emperisch ist das Gegenteil wahr ;-)

 

[copy&paste]

Am schnellsten wird dieser Weg gehen wenn die Benutzer das Thema Sicherheit" besser verstehen würden.

Verstehen ist natürlich nur die eine Seite. Und selbst da bin ich mir nicht so sicher ob das wirklich notwendig ist. Beim Auto verstehe ich die Funktionsweise von den ganzen Sicherheitsfeatures z.B. auch nicht, aber ich kann sie nutzen, weil sie vorhanden sind.
Wenn ich den Sicherheitsaspekt bei Android mal bis zu dem Punkt Schutz der Privatsphäre & und Datenschutz ausrolle, dann fehlen mir dort schlicht die passenden Werkzeuge. LBE war hier für mich längere Zeit ein Fels in der Brandung. Aber die App stirbt seit einem guten Jahr einen langsamen Tod.
Das google kein Interesse hat kann ich noch verstehen, warum in LineageOS z.B. die dort vorhandenen Mittel nicht ausgebaut werden, um gründlicher und fein granulierter blocken zu können ist mir unklar.

 

[dutchbavarian]

Ja, mit dem Auto ist ein gutes Beispiel. Deswegen machen die Hersteller auch LTE rein damit sie (a) Tracken können und (b) Updates einspielen, ohne dem User damit zu belästigen.

Und da sind wir wieder beim "Herstellerpflicht" dafür zu sorgen dass das System automatisch aktualisiert ohne das der Benutzer was merkt oder machen muss.

 

[shawnyadav]

Ich kann den offiziellen Apps aus dem Google Play Store nicht einmal vertrauen. Bald oder später werden Sie feststellen, dass Ihre Informationen verkauft wurden oder Malware installiert wurde.

 

[dutchbavarian]

Gut das es jetzt die DSGVO gibt - daran müssen sich auch Firmen außerhalb der EU halten die in der EU Dienste anbieten. Die Abmahnkanzleihen liegen sicher schon auf der Lauer....

 

[Fischkopp]

Windows ist bei der Diskussion ein schlechtes Beispiel.

Es mag zwar dank interner Firewall und regelmäßigen Sicherheitspatches gut gerüstet gegen Angriffe von außen sein, aber wenn man mal analysiert, was MS von sich aus alles nach Redmont funkt, muss man tatsächlich den Begriff "Sicherheit" neu definieren. Sicher vor einem generellen Zugriff sind unsere Daten schon mal gar nicht.

Und ich fürchte, bei Google sieht es nicht anders aus.