Sicherheitslücken ermöglichen App-Installation ohne Nachfrage

  • 5 Antworten
  • Letztes Antwortdatum
Das hört sich nicht sonderlich gut an.

Es ist so langsam wirklich 5 nach 12 für die Hersteller um endlich mal aufzuwachen was Sicherheitspatches angeht.

Fehler können natürlich immer passieren und auch in Zukunft wird es das immer mal wieder geben.

Nur sollten halt solche gravierenden Sicherheitslücken so schnell wie möglich gefixed werden.
Wenn sie keine neue Android Version anbieten wollten müssen sie eben die Bugfixes aus 2.2.1 zurückportieren. Und in spätestens in 1-2 Wochen sollten bei so ner Lücke der flächendeckende Patch verfügbar sein.

Rooten / CustomRoms sind für die meisten Benutzer eh Fremdwörter und kommen nicht in Frage, von daher ist das keine wirkliche Lösung.

Wenn das seitens der Hersteller / Provider so weiterläuft was Sicherheitsupdates angeht ist es wohl nur eine Frage der Zeit bis wir uns an so Dingen wie Dialern und Botnetzen aus Millionen von Android-Phones freuen können :)
 
Ich persönlich halte das bisherige Vorgehen auch für sehr nachlässig: Einerseits kommuniziert Google fast überhaupt nicht über die vorhandenen Lücken (im Gegensatz z.B. zum Webbrowser Chrome); andererseits ist es zwar gut, daß das genannte Problem zwar mit Froyo beseitigt wurde, aber ja nun immer noch der weitaus größte Teil mit Android-Versionen kleiner als 2.2 unterwegs ist. Es muß doch möglich sein, solche Sicherheitslücken in Zusammenarbeit mit den Herstellern zeitnah zu fixen!

Bisher hieß es immer, mit entsprechender Vorsicht wäre das alles kein Problem - scheinbar gibt es aber genug findige Leute, die selbst die als sicher geltenden Hürden zu umgehen. Das muß einfach transparenter werden und nicht einfach totgeschwiegen werden... Ich habe mir auch überlegt: Ist eine solche News jetzt Panikmache? Soll man die User in Sicherheit wiegen? Ich denke nein. :unsure:
 
Lion13 schrieb:
Es muß doch möglich sein, solche Sicherheitslücken in Zusammenarbeit mit den Herstellern zeitnah zu fixen!

Ich denke das gestaltet sich praktisch sehr viel schwieriger als man sich das vorstellt.

1. Es gibt leider genug Hersteller die eine "fire & forget" Politik betreiben und kein Interesse an weiterem Support haben.
[IRONIE]Warum sich auch um Updates / Patches kümmern, kostet doch eh nur Geld, lieber soll der Kunde ein neues Gerät kaufen.[/IRONIE]

2. Bei der ganzen Android-Update Sache dürfen viel zu viele Leute mitreden. Selbst wenn der Hersteller in einer angemessenen Frist Updates verteilt reden bei gebrandeten Geräten immer noch die Provider mit.
Ganz nach dem Motto:
[IRONIE]Sicherheitsupdates sind doch nicht so wichtig, es ist viel wichtiger das wir uns erst ein paar Monate Zeit nehmen um selber noch an der Software rumzupfuschen. Wer braucht schon Sicherheitsupdates wenn er stattdessen ein buntes Bootlogo und diverse unnütze Programme haben kann[/IRONIE]

3. Da es aus den beiden oben genannten Gründen wahrscheinlich niemals funktionieren wird das Problem so in den Griff zu bekommen sollte Google das machen was schon lange überfällig ist:
Soweit es möglich ist modulare Sicherheits-Updates über den Market machen. Damit könnte man wenigstens die Sicherheitslücken in Browser / Rendering-Engine / Email-Client / etc. sehr schnell und zeitnah fixen.
Und da gerade diese Programme sehr anfällig für solche Sachen sind würde das dieses Problem wenigstens ein klein wenig entschärfen.
 
Lion13 schrieb:
Ich persönlich halte das bisherige Vorgehen auch für sehr nachlässig: Einerseits kommuniziert Google fast überhaupt nicht über die vorhandenen Lücken (im Gegensatz z.B. zum Webbrowser Chrome); andererseits ist es zwar gut, daß das genannte Problem zwar mit Froyo beseitigt wurde, aber ja nun immer noch der weitaus größte Teil mit Android-Versionen kleiner als 2.2 unterwegs ist. Es muß doch möglich sein, solche Sicherheitslücken in Zusammenarbeit mit den Herstellern zeitnah zu fixen!
Die Wahrheit ist ja, dass die Statistiken, auf denen man sehen kann, dass nach und nach +x% inzwischen auf einem aktuellen Android arbeiten nur dadurch zustande kommen, dass sehr viele neue Androidhandy momentan gekauft werden, weil Android den Smartphone-Markt gerade Massenkompatibel gemacht hat.
Ein Beispiel, falls ich zu wirr rede:
Zeitpunkt 1: 80 Androidbesitzer mit kA. Android "v1.5" und 20 Androiden mit "v2.2"
Zeitpunkt 2: 85 Androidbesitzer mit Android "v1.5" und 60 Androiden mit "v2.2"

--> Zum "Zeitpunkt 1" hatten 80% nur Android v1.5 und 20% eine Androidversion über 2.0
--> Zum "Zeitpunkt 2" haben nurnoch knapp 60% Android 1.5 und schon gut 40% eine Androidversion über 2.0. Nur leider sind in dem 20%-Zuwachs nur 5 "alte" Android-Kunden...

Das heißt: Wenn der SmartphoneMarkt sich langsam sättigt und es sich so einpendelt, wie es vorher auch war - nämlich, dass nurnoch Smartphones "ersetzt" und nurnoch wenige komplett neu gekauft werden - dann wird dieses Problem sogar noch größer.

Android müsste die Dinge wie Sense/Motoblur usw. schnellstmöglich abschaffen. Aber das wird nicht gelingen, wenn man sich z.B. mal HTCs engagement in dem Bereich anschaut.

Ich sag mal so: Beim PC musste auch viel neu gelernt und gemacht werden - aber da war es immer nur ein Hersteller, der das Software-Grund-Paket geliefert und auch geupdatet hat. Dieser Softwaremix aus X Herstellern ist glaube ich neu und wird meiner Meinung nach so auch nicht wirklich gut gehen.
Lion13 schrieb:
Ich habe mir auch überlegt: Ist eine solche News jetzt Panikmache? Soll man die User in Sicherheit wiegen? Ich denke nein. :unsure:
Nein ist es meiner Meinung nach nicht. Wichtige News.

mußik
 
Ich finde es schade, das so sorglos mit einem ansich guten System umgegangen wird.
Hier wird das Problem auf den Anwender/Käufer abgewälzt. (Kauf dir doch einfach ein neues mit einer neuen Version!)
Klar wollen die Hersteller verkaufen und sich nicht um Altlasten kümmern müssen. Nur könnte genau das ein Problem für Android werden.
Wobei das Problem besteht ja nicht nur bei Smartphones sondern betrifft fast alles was Elektronik, Software oder Mechanik beinhaltet.

Das beste wäre man übernimmt die die Fehlerbeseitigung wie es bei einem Debian-System üblich ist. Debian bringt alle Jahre wieder eine neue Version raus. Diese wird bis zum erscheinen einer nächsten Version nur mit Sicherheitspatche versehen (es werden keine neuen Funktionen hinzu gefügt). Da ein Android ja auch aus Pakete besteht, wäre es ein einfaches diese zu patchen und dem Anwender über eine Update-Funktion zur Verfügung zu stellen. Diese Update-Funktion würde nur die Pakete updaten die fehlerhaft sind ohne die eigentliche Firmware austauschen zu müssen.


Gruß
Martin
 

Ähnliche Themen

cska133
Antworten
37
Aufrufe
1.745
cska133
cska133
K
Antworten
8
Aufrufe
431
DOT2010
DOT2010
C
  • CrazyWolf
Antworten
8
Aufrufe
748
cptechnik
cptechnik
Zurück
Oben Unten