bq und Sicherheitsupdates?

[Multiple_P]

Klar, ein aktuelles Datum würde vermutlich die meisten User in Sicherheit wiegen und in der Überzeugung zurück lassen, dass alles sicher ist.
Sicherheit liegt tatsächlich zuallererst in den Händen des Nutzers und die absolute Aktualität kann man eh nie erreichen, selbst bei täglichen Updates.
Man könnte ja auch eine Antivirensoftware einsetzen. In den meisten Fällen für die Performance des Gerätes wohl kontraproduktiv.
Mich stören Fehlfunktionen, vor allem nachträglich eingebrachte, viel mehr. Schwer nachzuvollziehen, was davon auf das Konto von Google geht, oder zumindest im Zusammenspiel von BQ und Google, was hausgemacht ist und inwieweit auch hier die Sicherheit mit beeinflusst wird.

 

[BQSupport]

Hallo @freepawn

nein du musst dir nicht das aller letzte Modell anschaffen. Wir meinen nur das da dieses Gerät das Sicherheitspatch bekommen hat, wird es wohl nicht mehr lange dauern das wir Neuigkeiten von den X und X Pro bekommen.
Bitte Geduld.

Danke

 

[Gizzmo]

@Korfox Grundsätzlich stimme ich dir zu, wobei ich mein Telefon nicht wegen ungepatchter bekannter Sicherheitslücken verkrüppeln möchte. Erst kommt "Bluetooth abschalten", dann kommt der Werbeblocker, dann vielleicht noscript... und irgendwann müssen wir auch WLAN und GPS abschalten, und vielleicht ist dann irgendwann noch eine Lücke im LTE Modem, also bitte Flugmodus einschalten, wenn man es gerade nicht braucht, und wenn doch, dann bitte das Telefon nur weit draußen auf dem Feld nutzen.
Gut, so weit wird es nicht kommen, ich habe bewusst etwas übertrieben. Mir ging es um die Aussage, dass man mit dem Juli Sicherheitspatch geschützt ist. das ist schlicht und einfach FALSCH. Punkt.
Generell würde ich sagen, dass 2 Monate in Ordnung sind, 3 Monate sind auch noch ok, alles darüber hinaus wird irgendwann kritisch - letztendlich hängt es immer davon ab, wie schnell Angreifer Lücken ausnutzen können, und die Vergangenheit zeigt, dass dies meist deutlich >1/2 Jahr ist, die ganze Malware nutzt für's Rooting teilweise uralte Lücken aus - weil es eben hierfür Exploits gibt. Es ist eine Kosten-Nutzen Rechnung, die Entwicklung von real-world nutzbaren Exploits ist aufwändig und nimmt Zeit in Anspruch, und je älter eine Lücke ist, desto eher kann man diese ausnutzen (eben weil die Exploits dann irgendwann mehr oder weniger frei verfügbar oder günstig im Einkauf sind).

Wie schon gesagt, die 2-3 Monate von bq sind noch im Rahmen, jedoch gibt es bei den Android One Geräten nunmal auch eine etwas andere Erwartungshaltung, die auf Versprechen seitens Google basiert.
Hier (Android One: Smart, secure, and simply amazing.) steht es übrigens schwarz auf weiß:

With monthly security updates*** and Google Play Protect built in, Android One devices are among the most secure.

Unter *** steht:

Confirm exact duration of support for phones in your territory with smartphone manufacturer. Monthly security updates to be supported for at least 3 years after initial phone release.

 

[olih]

Und hier sehe ich genau den Knackpunkt, es wird doch dem Hersteller überlassen.

Confirm exact duration of support for phones in your territory with smartphone manufacturer. Monthly security updates to be supported for at least 3 years after initial phone release.

@BQSupport da könnt ihr uns doch sicher aufklären wie es bei BQ ist. Dann wissen wir es definitiv.

 

[Gizzmo]

@olih der genaue Zeitraum wird laut dieser Aussage dem Hersteller überlassen, aber es müssen mindestens 3 Jahr sein, und die Updates müssen monatlich kommen.
Ich vermute, dass die internen Vorgaben andere sind und das Google Marketing hier etwas über das Ziel hinausgeschossen ist...

 

[wolder]

...und das Google Marketing hier etwas über das Ziel hinausgeschossen ist...

Nö.
Andere Hersteller schaffen die monatlichen Updates.

 

[Gizzmo]

@wolder Ich meinte damit eher, dass die offiziellen Voraussetzungen gegenüber dem Hersteller vielleicht nicht monatliche Updates beinhalten, sondern nur zeitnah (also 2-3 Monate), das Google Marketing dies aber trotzdem auf die Webseite geschrieben hat.
Dennoch ist die Erwartungshaltung da - und andere bekommen es auch hin.

 

[homofaber]

@Multiple_P

Klar, ein aktuelles Datum würde vermutlich die meisten User in Sicherheit wiegen und in der Überzeugung zurück lassen, dass alles sicher ist.
Sicherheit liegt tatsächlich zuallererst in den Händen des Nutzers und die absolute Aktualität kann man eh nie erreichen, selbst bei täglichen Updates.
Man könnte ja auch eine Antivirensoftware einsetzen. In den meisten Fällen für die Performance des Gerätes wohl kontraproduktiv.
Mich stören Fehlfunktionen, vor allem nachträglich eingebrachte, viel mehr. Schwer nachzuvollziehen, was davon auf das Konto von Google geht, oder zumindest im Zusammenspiel von BQ und Google, was hausgemacht ist und inwieweit auch hier die Sicherheit mit beeinflusst wird.

1. Es ist Unsinn, die User für die Sicherheit verantwortlich zu machen, wenn eine normale Nutzung des Smartphones zu einer Übernahme durch Schadcode führen kann. Mit normaler Nutzung meine ich hier: Sufen im Netz, Benutzung von Standard-Apps.
2. Sicherheit ist ein Prozess, kein Status. Dazu gehört, dass bekannt gewordene Lücken so schnell wie möglich geschlossen werden, da sie erfahrungsgemäß kurz nach bekannt werden ausgenutzt werden.
3. AV-Software ist Schlangenöl und bringt in der Regel deutlich mehr Probleme als Nutzen. Egal ob auf dem PC oder dem Smartphone.

 

[nik]

erfahrungsgemäß kurz nach bekannt werden ausgenutzt werden

Hast du denn Beispiele dafür, wo das nun bei Android effektiv der Fall war?

 

[homofaber]

@nik

Neben der Recherche via Google empfehle ich die Installation von Metasploit und Experimente mit diesem.

 

[Korfox]

@homofaber
1. So, wie es am PC auch schon seit Jahrzehnten Gang und gebe ist? Es gibt keine Betriebssystem, dessen userland sicher ist, wenn man den Benutzer aus der Verantwortung nimmt. IT-Security fängt immer beim Benutzer an.
2. Das bestreitet niemand.
3. Du widersprichst deinem Punkt 1. Ich bin auch kein Fan von AV-Software (gerade und insbesondere bei Android, wo sie aufgrund fehlender Berechtigungen eh nur Ring 2 oder 3 schützen kann, wenn man nicht Malware auch Tor und Tür öffnen möchte). Aber genau darum fängt Sicherheit beim Nutzer und nicht bei Hard- oder Software an.

 

[homofaber]

@Korfox
Bekannt gewordene Sicherheitslücken gehören sofort geschlossen. Und das liegt nicht in der Verantwortung des Benutzers.

Wie bitte soll sich ein User schützen, wenn sein Gerät durch ein scheinbar harmloses Foto oder Video auf einer beliebigen Website infiziert werden kann? Oder wie in der Vergangenheit ganz ohne Interaktion (die ersten Stagefright-Lücken, bei denen Geräte via MMS infiziert und übernommen werden konnten, ohne dass der Benutzer die MMS öffnen musste).

 

[nik]

Neben der Recherche via Google empfehle ich die Installation von Metasploit und Experimente mit diesem.

Das beantwortet meine Frage nicht.

Aber da du ja selbst das Metasploit-Framework ansprichst, geh ich mal davon aus, dass du selbst weißt, wie aufwendig es ist, solche Exploits vorzubereiten und in Umlauf zu bringen.
Da ist es einfacherer, die gute alte Leier einfach weiter laufen zu lassen.
Solche Exploits werden eher für gezielte Angriffe genutzt als für die breite Masse.

Versteh mich bitte nicht falsch, ich seh das genauso wie du: Sicherheitslücken gehören geschlossen, so schnell wie möglich. Daran gibt es nichts zu diskutieren.

Trotzdem halte ich es für übertrieben, wegen solcher Sachen Panik zu verbreiten. Der Aufwand, trotz vorhandener Sicherheitslücken ist der Aufwand eben doch relativ groß und es gibt bewertere Wege, Geld zu verdienen.
Und die Vergangenheit hat gezeigt, dass diese Lücken aus genannten Gründen nur selten ausgenutzt wurden.

 

[homofaber]

@nik
Es geht mir nicht darum, Panik zu machen. Und ich schreibe nicht von Zero-Day-Exploits/Lücken, sondern von Sicherheitslücken, welche sofort mit dem Erscheinen von Googles Security Bulletins der Allgemeinheit bekannt und damit für jeden Interessierten einsehbar sind. Damit sind sie per Definition keine Zero-Days mehr.

Bevor Google ein Security- Bulletin und den Source-Code mit den entsprechenden Fixes veröffentlicht, werden Android-Partner von Google mindestens 4 Wochen vorher informiert und haben damit einiges an Zeit - so sie denn wollen - entsprechende Patches zeitnah zu veröffentlichen. Ob BQ nun zu den Android-Partnern gehört, weiß ich nicht, gehe aber davon aus.
Mit anderen Worten: Die derzeitigen Security-Patches vom 4. September liegen seit mindestens Anfang August vor.

 

[nik]

@homofaber Ich hab nichts von Zero-Day-Exploits geschrieben.

Und wenn man muss nun mal die Gefahren für unterschiedliche Plattformen auch unterschiedlich bewerten. Deine Aussagen haben allgemein ihre Richtigkeit, wie oben aber bereits beschrieben, trifft vieles eben nicht so auf Android, wie es bei Desktop- und Serversystemen der Fall ist.
Und das mit den Sicherheitsupdates bei Smartphones oder besser Updates im Allgemeinen ist ja leider ein Systemisches Problem.

 

[homofaber]

@nik
Wenn Google von "Elevation of Privilege" spricht, dann meinen sie eben genau das. Sandbox hin oder her, da hilft es dann nicht. Würde die sandbox hier schlimmeres verhindern, wäre die Einstufung nicht "high" order critical, sondern "moderate".

Hinweise wie

"The most severe vulnerability in this section could enable a local malicious application to bypass operating system protections that isolate application data from other applications."

sprechen doch eigentlich für sich.

Einfach das hier in Ruhe von oben bis unten lesen und wirken lassen:

Android Security Bulletin—September 2018  |  Android Open Source Project

 

[nik]

@homofaber ich habe nichts gegenteiliges geschrieben.

Die Gefahr, dass man sich so was in the wild einfängt, ist bei Android aber eben doch geringer, als z.B. bei Windows, weil sich kaum jemand die Mühe macht, diese Sicherheitslücken auszunutzen. Wozu auch? Die meisten User installieren Malware doch freiwillig.
Und so lange das der Fall ist, kann man das Risiko, sich bei Android Malware durch offene SIcherheitslücken einzufangen, eben auch geringer einstufen, als man das bei Windows müsste.

Nochmal: Ich seh das genauso wie du. Sicherheitslücken gehören geschlossen. Nur sind Sicherheitslücken, die nicht ausgenutzt werden, in der RIsikobewertung eben nicht so relevant wie Sicherheitslücken, die auch aktiv genutzt werden. Und das sollte man eben nicht außer Acht lassen.

 

[zyxx]

Hallo lieber @BQSupport, ich wollte noch einmal nachfragen wie es mit dem Aquaris X5 aussieht (nicht PRO).
Sicherheitsstand 5. Januar 2018.
Gekauft 2.Juni 2016 (wird auch noch bei euch verkauft).
Erschien wohl Anfang November 2015, gelistet ab Ende October bei Amazon.

Damals wurde der Eindruck erweckt, dass es regelmäßige Sicherheitsupdates und zwei garantierte Major Updates geben würde.
Auch war von 5 Jahren Garantie die Rede.
Soweit so gut, die Major Updates kamen, allerdings hörten die Updates im Januar dann auf.

Ihr spracht davon, dass es noch ein Update geben würde, konntet mir allerdings keinen genauen Termin nennen.

Gehe ich recht in der Annahme, das es keine Rückkehr zu regelmäßigen Sicherheitsupdates für dieses Modell mehr geben wird?

 

[BQSupport]

Hallo zusammen,
ich sende euch ein paar Infos zu den Updatepolitk.

Bezüglich der Android Geräte, die nicht Teil des Android One Programms sind, haben wir immer dieselbe Vereinbarung mit Google gehabt. Dabei handelt es sich um die Fristen, die wir auch offiziell kommunizieren. Bei den Mayor Updates: Garantiert mindestens 1 Versionsupdate und ein zweites Versionsupdate in Abhängigkeit vom Gerät und wenn es technisch möglich ist. Bei den Sicherheitspatches: Innerhalb von 90 Tagen ab dem Zeitpunkt, zu dem Google sie veröffentlicht und innerhalb der ersten zwei Jahre nach Marktstart des Gerätemodells. Mehr Informationen dazu, wie wir unsere Geräte aktualisieren und auf welchem Stand sie sich befinden, findet ihr hier: xxx. Intern stellen wir so hohe Ansprüche an uns, dass wir alles Mögliche versuchen, um über diese Vereinbarung noch hinaus zu gehen und immer wenn es möglich ist, die Sicherheitspatches häufiger zur Verfügung zu stellen (alle 2 Monate). http://bit.ly/BQ_Stand_der_Aktualisierungen

Liebe Grüße
[doublepost=1537964968,1537964368][/doublepost]Hallo @zyxx

das Aquaris X5 wurde mit Lollipop verkauft, dann bekam es 2 major Updates Marschmallow und Nougart. Dabei kamen auch die Sicherheitspatches in den Zeiten. Geplant ist es nicht das neue Sicherheitsupdates für dieses Modell ankommen. Das Gerät ist auch schon fast als 3 Jahre alt. In unserem Store gibt es aber keine Geräte mehr.

Liebe Grüße

 

[sgk1200]

Zumindest beim X5Plus, und den U / U Plus / U lite sind die 90 Tage schon deutlich überschritten - Patchlevel 01.06.208 -> 118 Tage.