Schummel-Verdacht bei Sicherheitspatches / SnoopSnitch

  • 62 Antworten
  • Letztes Antwortdatum
basketballer schrieb:
... Lineage und sonstige Custom Roms interessieren mich primär nicht.
Bei deinem "Sicherheitsbewußtsein" sollten sie das aber. Gerade bei diesen "freien" Systemen bekommst du noch Updates bzw. Sicherheitspatches für Geräte, die die Hersteller schon lange nicht mehr supporten und das deutlich schneller und häufiger als vom Hersteller.

Nichts desto Trotz ist das allgemeine Update Verhalten der Hersteller eher lausig (und das nicht nur bei Sicherheitspatches). Von drei Handys, alle aus dem höherpreisigen Segment (~400,-€, verschiedene Hersteller) wurden offiziel, ein Gerät nach 18 Monaten (gekauft im Erscheinungsmonat) mit zwei Updates, ein Gerät nach 12 Monaten (gekauft ~6 Monate nach Erscheinungsmonat) mit zwei Updates und ein Gerät bereits nach 6 Monaten (gekauft 7 Monate nach Erscheinungsmonat) mit einem Update, nicht mehr mit Updates/Sicherheitspatches versorgt.
Davon, das einige Geräte überhapt nie ein Update zusehen bekommen will ich garnicht erst reden.

Sinn würde es machen, wenn reihenweise Besitzer "neuer" Geräte mit 'nem Screenshot der SnoopSnitch-App in den ersten 6 Monaten ihre Handys wegen "Sachmangel" zurückgeben würden und es eine Verpflichtung für die Hersteller gäbe, mindesten 24 Monate für (Sicherheits-)Updates zu sorgen solange das Gerät offiziel im Handel ist.
... so wird da nicht viel passieren :crying:.

Gruß __W__
 
  • Danke
Reaktionen: nik
LineageOS ist ohnehin ein miserables Beispiel dafür, wie man Patchstände vernünftig abbildet. Mag sein, dass dort Sicherheitsupdates eingepflegt werden, aber ob der Benutzer davon etwas mitbekommt, ist die Entscheidung desjenigen, der es macht. Und dann steht das auch nur im Changelog.
How to track which CVEs got patched in LineageOS?
 
In meinen Augen ist es nur konsequent, für fake-Bedrohungen fake-Patches zu verwenden.
 
Sehr komische Ansichten Hr. Notefalls

@Korfox: natürlich kann es Gründe geben. Aber alleine die fehlende Transparenz spricht doch Bände....
 
@Dodger
was passiert denn, wenn man nicht regelmäßig sein Smartphone "sicherheitspatcht"?
 
Es passiert erstmal nichts. Aber das Gerät ist dann anfllig für diese Lücken... bei Android gibts genug 0day-Exploits die nie gefixt werden...

Wenn ich mir anschaue wie leicht sich der FRP-Lock bei den meisten Geräten entfernen lässt... da kann man sowas gleich weglassen. Gerade Huaweis sind doch echt was Softwaresicherheit betrifft Spielzeuge...
 
Dodger schrieb:
@Korfox: natürlich kann es Gründe geben. Aber alleine die fehlende Transparenz spricht doch Bände....
Nun... warum sollte ich (als Hersteller) über etwas reden, das ich nicht habe?
Die Werkstatt erzählt mir auch nicht alle 5 Monate, dass sie die Zündkerzen nicht gewechselt haben... weil: ist ein Diesel.
Weiß jeder Android-Besitzer, welche Funktionen der Hersteller rausgepatched hat (bzw. will man es überhaupt wissen?)? Ich denke nein.
Würde es die meisten Besitzer verunsichern, wenn da aufgelistet stünde, was warum und wie nicht eingespielt wurde? Ich denke ja.

Weiß jeder Autofahrer, dass sein Diesel keine Zündkerzen hat? Aus Erfahrung: Nein.
Wären die meisten, die das nicht wissen, verunsichert, wenn die Werkstatt ihnen jedes Mal proaktiv erklären würde, dass die Kerzen nicht gewechselt wurden? Ja.

Aktuell sind wir am kochen, aber es wird nunmal nichts so heiß gegessen, wie gekocht. Wir werden sehen, wie sich das entwickelt.
 
  • Danke
Reaktionen: nik
Wenn dir deine KFZ-Werkstatt ein Gesamtpacket für eine bestimmte Sache verkauft, von dem bekannt ist, was es beinhaltet, dann interessiert dich nicht, was davon nicht ausgeführt wurde? Davo n mal ab, mal wieder eine hinkende KFZ-Analogie. :)

Wenn ich ein Patch-Level installiert bekomme, dann ist damit klar assoziiert, welche CVEs darin abgehandelt werden. Dann erwarte ich, daß die auch in meinem Update enthalten sind. Wenn dich das dann am Ende nicht interessiert, was genau der Umfang ist, ist es ganz alleine deine Sache. Aber es gibt Leute, die interessiert das. Aus Gründen. Und wenn ein Patch für ein CVE nicht im Update behandelt wird, dann erwarte ich eigentlich, daß das in der Update-Beschreibung steht und warum es nicht drin ist. Ist doch kein Problem zu schreiben, daß man Komponente X nicht benutzt und deshlab CVE-irgendwas nicht drin ist.

Mich nerven Update-Beschreibungen von SW wie "allgemeine Verbesserungen", "Verbesserung der Nutzungserfahrung", etc. – ja, was zur Hölle soll ich denn damit anfangen?!? Ich möchte z.B. wissen, wenn und was sich verändert hat, damit ich z.B. nicht von einem geänderten Verhalten überrascht werde. Ich möchte im Zweifel auf Feedback geben können, wenn die Änderung irgendwelchen negativen Effekte hat. Dazu muß ich aber von der Änderung wissen. Sehr häufig geht es ja um eher subtile Änderungen. Und über neue Features, und sei es nur die eine oder andere Option in den Settings mehr, würde ich es gerne wissen. So schaut für mich ein vernünftiges Changelog aus.
 
@hmpffff und wieso sollte man einen Patch für etwas integrieren, das gar nicht vorhanden ist?
 
hmpffff schrieb:
Wenn ich ein Patch-Level installiert bekomme, dann ist damit klar assoziiert, welche CVEs darin abgehandelt werden. Dann erwarte ich, daß die auch in meinem Update enthalten sind.
Die meisten Menschen tun dies halt nicht zwingend und die Erwartungshaltung ist falsch. Wir können auch gerne in der SW-Welt bleiben.
Wenn ich mir das Update-Rollup 1709 für Windows 10 installiere, dann ist da mitnichten das Patchpaket für die C++ Redist enthalten, wenn ich diese garnicht installiert habe.
Und das 1803er Office-Update hat auch Access nicht gepatched, wenn ich es nicht installiert habe.

Dein verlinkter Changelog ist angenehm, ja, genau das richtige... für den, der sich für die Details interessiert. Das tut nur halt kaum jemand.

Wenn ich Updates bekomme erwarte ich, dass der Entwickler das Update entsprechend flexibel gestaltet, dass eben nur die Updates eingespielt werden, die ich brauche - und keim Kram meinen Speicher belegt und Daten frisst, den ich eh nicht brauche.
 
Rosa Elefant schrieb:
LineageOS ist ohnehin ein miserables Beispiel dafür, wie man Patchstände vernünftig abbildet. Mag sein, dass dort Sicherheitsupdates eingepflegt werden, aber ob der Benutzer davon etwas mitbekommt, ist die Entscheidung desjenigen, der es macht. Und dann steht das auch nur im Changelog.
How to track which CVEs got patched in LineageOS?

In dem zitierten Forenbeitrag schreibt irgendwer dass es für ihn so aussähe als ob nur das Datum geändert wäre. Aber er kann das weder wirklich verstehen, und schon gar nicht begründen. Jetzt führst du das an als "beleg" dafür an, dass bei Lineage alles durcheinander geht. So entsteht Müll.

Ich habe Lineage auf zwei verschiedenenen Geräten getestet, ein Patch fehlte. Das ist nicht gut, aber deutlich besse als bei vielen anderen.
 
nik schrieb:
@hmpffff und wieso sollte man einen Patch für etwas integrieren, das gar nicht vorhanden ist?
Wenn ich dir etwas verkaufe, von dem du weisst, was es alles beinhaltet, dann interessiert es dich nicht, wenn ich ein paar Teile weglasse? Interessant.

Wenn ich ein Update verteile und ein Patch-Level dazu angebe, dann erwarte ich, daß es alles beinhaltet, was zu eben diesem Patch-Level gehört. Ansonsten darf es IMHO nicht den Tag "Patch-Level XY" bekommen – so einfach ist das. Dann müssen sie halt drauf verzichten den Patch-Level hochzuzählen. Dann erwarte ich die Angabe des letzten vollständigen Patch-Levels + die hinzugekommenen CVEs. Dann weiß ich als, warum auch immer, interessierter Anwender, wie ich damit umzugehen habe. Aber unterlassen ohne entsprechende Dokumentation ist nicht hinnehmbar. Da bin ich strikt. Das gehört zur Dokumentationspflicht.
[doublepost=1523874954,1523874397][/doublepost]
Korfox schrieb:
Die meisten Menschen tun dies halt nicht zwingend
Die Allgemeinheit darf hier nicht der Maßstab sein. Die Allgemeinheit kann die Update-Beschreibungen ja ignorieren. Aber ich erwarte sie.

und die Erwartungshaltung ist falsch.
Und dem wiederspreche ich.

Wenn ich mir das Update-Rollup 1709 für Windows 10 installiere, dann ist da mitnichten das Patchpaket für die C++ Redist enthalten, wenn ich diese garnicht installiert habe.
Und das 1803er Office-Update hat auch Access nicht gepatched, wenn ich es nicht installiert habe.
Wo ist da denn der Widerspruch?!? Der Patch ist prinzipiell da. Er wird lediglich nicht angewendet bei SW die nicht vorhanden ist zum Patchen.

Es handelt sich hier um ergänzende SW und nicht um Systemkomponenten, die ein Windows-Wiederverkäufer deaktiviert hat und für die deshalb kein Patch angewendet wird. Das erwarte ich in der Doku den Entsprechenden Hinweis auf die fehlenden Komponenten.

Wenn ich ein Windows in einer bestimmten Edition kaufe, dann weiß ich was ich bekomme. Anders sieht es bei Custom-Systemen wie Linux aus. Aber hier wird auch jede einzelne Komponente für sich dokumentiert.

Dein verlinkter Changelog ist angenehm, ja, genau das richtige... für den, der sich für die Details interessiert. Das tut nur halt kaum jemand.
Wie schon gesagt: das muß egal sein. Der, der sich dafür interessiert muss die Möglichkeit haben das Changelog einzusehen. Auch wenn der normale Endanwender sich mehrheitlich nicht dafür interessiert, profitiert er zumindest indirekt davon, da andere sich das durchlesen und die Informationen auf Umwegen zu dem Endanwender gelangen können.

Jeder, der schonmal Bugfixes und Feature-Requests gestellt hat, der dürfte sich brennend für das Changelog interessieren.
 
hmpffff schrieb:
Die Allgemeinheit darf hier nicht der Maßstab sein. Die Allgemeinheit kann die Update-Beschreibungen ja ignorieren. Aber ich erwarte sie.
Das ist nicht das Problem der Hersteller. Die Allgemeinheit muss der Maßsstab sein.
Dem Hersteller ist es doch völlig egal, ob du mit deinem zwei Smartphones pro x Jahre Kunde bist - der Hersteller will die Allgemeinheit als Kunden.
hmpffff schrieb:
Wo ist da denn der Widerspruch?!? Der Patch ist prinzipiell da. Er wird lediglich nicht angewendet bei SW die nicht vorhanden ist zum Patchen.
Genau, wie potentiell bei deinem Android. Der Patch ist da, wird aber nicht angewandt, bei SW, die nicht vorhanden ist, um gepatched zu werden.
 
  • Danke
Reaktionen: nik
@hmpffff Wenn ich dich richtig verstehe, geht es dir also mehr um nicht vorhandene Transparenz bzw. schlechte Dokumentation der Hersteller.

Hat meiner Meinung nach eben weniger mit dem Patchen, sondern eher was mit der mangelhaften Informationspolitik der Hersteller zu tun.

Das Beispiel von Korfox trifft es doch genau.
Wenn eine Komponente nicht genutzt wird, wird sie nicht gepatcht.

Dagegen kann ich deinen Gedankengang schwer nachvollziehen.
Wie kommst du nun darauf, dass ein Hersteller Android für seine Zwecke nicht anpassen darf?
Anbieter wie Samsung werben doch gerade damit.
 
Nochmal: wenn mir jemand etwas unter einem Namen verkaufen möchte, für das ganz klar ist, was es beinhaltet, dann muss auch das da drin sein. Andernfalls darf ich es nicht unter diesem Namen vertreiben. Wenn ich von einem Android Patch-Level rede, dann ist es IMHO völlig klar, was damit gemeint ist. Dann möchte ich im Zweifel direkt bei AOSP nachschauen können, welche CVEs es behandelt. Dann möchte ich mich darauf verlassen können, daß diese Lücken geschlossen sind. Es mag einem Enduser (fälschlicherweise) egal sein, aber wer z.B. eine Verantwortung für die Geräte hat, der möchte auch sicher sein können, daß die Dinger in dieser Hinsicht gepatcht sind.

Es ist mir hierbei auch scheiß egal, ob es ein Hersteller womöglich anders sieht. Es geht hier um Security. Da gibt es gewisse Standards. Hätte ich zu entscheiden, welche Smartphones demnächst anzuschaffen sind, wäre dieser Vorfall für mich für meine Entscheidung von Wert. Ich würde mich immer für den Hersteller mit der bestmöglichen Kommunikation entscheiden. Und dazu gehören vernünftige Changelogs. Punkt. Das ist auch nicht verhandelbar.
 
Es geht aber eben nicht um die Sicherheit, wenn Patches ausgelassen werden, weil der Grund für den Patch fehlt.
 
  • Danke
Reaktionen: Korfox
Ich verstehe die ganze Diskussion hier nicht. Anscheinend ist es einigen lieber GAR KEINEN Patch zu erhalten weil dieser nicht komplett möglich ist, als einen Teil des Patches.

Um nochmal mögliche Gründe zu erwähnen (auszug aus der Meldung von golem.de):
Smartphones mit Mediatek-Prozessor eher betroffen
Ein Indiz für die Menge fehlender Patches ist der Prozessorhersteller. Denn abhängig davon erhöht sich das Risiko, dass Sicherheitspatches überprungen wurden. Besonders viele fehlen bei Smartphones mit Mediatek-Prozssoren. Das kann zum einen damit zu tun haben, dass die Prozessoren eher in preisgünstigen Geräten verwendet werden, die weniger intensiv aktualisiert werden.

Ein anderer Grund ist, dass manche Sicherheitslücken im Prozessor selbst stecken und der Gerätehersteller darauf angewiesen ist, dass der Prozessorhersteller Patches anbietet. Hier ist Mediatek oft dabei, wenn es darum geht, dass diese nicht bereitgestellt werden. Deutlich besser schneiden Geräte mit Qualcomm-, Samsung- oder Huawei-Prozessor bei der Patch-Versorgung ab, wobei die Geräte mit Samsung-Prozessor besonders gute Werte erzielen.

Google hat bereits auf die Untersuchungsergebnisse reagiert und weist darauf hin, dass einige der getesteten Geräte nicht von Google zertifiziert seien. Manchmal fehle ein Patch deshalb, weil der Gerätehersteller sich entschieden habe, die betreffende Funktion nicht zu unterstützen oder ganz abzuschalten, anstatt einen Patch bereitzustellen. Dies betreffe nach Aussage von Nohl aber nur eine geringe Zahl der untersuchten Geräte. Google wolle die Ergebnisse in jedem Fall mit Security Research Labs durchgehen.
 
  • Danke
Reaktionen: M--G
Ich gebe dir Recht, dass du die Diskussion nicht verstehst :)
Wir reden hier nicht davon, dass es Probleme ohne Lösung gibt. Wir reden über Probleme, die bekannt sind, und für die es auch eine Lösung gibt. aber der Hersteller gibt diese vorhandene Lösung nicht an seine Kunden weiter. Aus Geiz, Ignoranz oder was auch immer.
 
Du hast es nicht gelesen, oder?
Es gibt u.U. für den jeweiligen Hersteller gar keine Möglichkeit einen Patch weiterzureichen, da ihm vom Hardwarehersteller die nötige Unterstützung fehlt. Daher muss dann ein Workaround geschaffen werden. Sprich ein Teil kann nicht gepatcht werden. Ein Teil wird deaktiviert, gnz einfach. Dann bleibt halt die eine oder andere Lücke offen. Dafür sind aber andere dennoch geschlossen worden. Besser als gar kein Patch. Aber wie och oben geschrieben habe scheint das einigen lieber zu sein.

Es ist nicht immer weil der Smartphonehersteller keinen Bock hat. Die wissen genau das es sehr viele "Influenzer" gibt die für viele Leute Smartphone Empfehlungen geben. Und wenn jemand mit seinen Smartphones einen Bockmist nach dem anderen fabriziert werden schnell andere Marken gepusht.
 
Natürlich lese ich nicht... Nur du liest. Alle anderen schreiben nur sinnlos vor sich hin...

Fehlender Patch heisst hier nicht "es gibt keinen Patch". Es heisst es gibt einen Patch, der hat sogar eine Nummer, aber er wurde nicht einbaut.
 

Ähnliche Themen

G
Antworten
0
Aufrufe
49
gene
G
jandroid
Antworten
25
Aufrufe
1.161
holms
holms
G
Antworten
0
Aufrufe
628
gene
G
Zurück
Oben Unten