Wie genau wird sichergestellt, dass in OMA ICS keine Malware enthalten ist?

[wishmasterf]

Mag sein, aber auch das Gegenteil lässt sich nicht beweisen, da der Entwicklungsprozeß nicht offen gelegt ist. Wer garantiert mir denn, das die "Entwickler" nicht selbst von irgendwo her einfach binaries zu dem image packen die sie zwilichtiger quelle haben? Ob absichtlich oder aus Faulheit ist hierbei eigentlich egal - man muss darauf vertrauen, das sie alles richtig machen. Bei einem projekt, das seine Quellen ganz und gar offen legt, hat man wenigstens die Chance das zu verifizieren - hierbei wird einem auch diese verwehrt.

Ich würde dir dann empfehlen Elektronische Artikel ganz zu meiden oder hast du einen vollständigen sourcesatz von apples iOS, Samsungs Android Anpassungen, Windows Sourcen... Hast du wirklich den gesamten Quellcode von Android gelesen? Da haben die Chinesen, FBI, BND und die Israelis Backdoors, Sniffer, und Spambots eingebaut! Einwenig paranoid bist du schon oder?

Tue ich auch. Es ist wahrscheinlicher das ich mir einen Facebook account anlegen würde als das ich ein Binary aus zwilichtiger Quelle lade - und ich habe kein Facebook account.

Naja Facebook ist eigenes Thema. ier ist es ja nahezu bewiesen, dass sie sich im Dunkelgrauen bis schwarzen Rechtsraum befinden. Auch mich findest du nicht auf Facebook!

 

[Nakka]

Hast du wirklich den gesamten Quellcode von Android gelesen?

Was was auf Kernel Ebene passiert und die vom Android Projekt hinzugefügten Modifikationen, ja. Ich entwickle an einem Forschungsprojekt, das sich mit Virtualisierung auf Android Systemen beschäftigt.
Aber darum geht es auch nicht, ich habe von einem *nachvollziehbaren* Entwicklungsprozess geredet - das bedeutet, das die Autoren ihre Änderungen öffentlich zugänglich und für Jedermann einsehbar machen. Auch dies bleibt einem bei der gegenwärtigen Lage verwehrt.

Einwenig paranoid bist du schon oder?

Paranoid bin ich sicherlich auch, aber ich sehe das so: Die Angriffsziele bei Mobilgeräten sind völlig andere als bei normalen Rechnern - hier sind die Angreifer nicht darauf aus, den Rechner als {Spam,DDOS,whatever}bot zu benutzen, sondern laden und verkaufen die darauf gespeicherten Adressdaten - wo sonst bekommt man einen Adressdatensatz von solch hoher Qualität? Im Gegensatz zu normalen Trojanern kann der Autor solcher Software die Daten direkt zu Geld machen und hat schon mit wenigen Installationen ein gutes Geschäft gemacht. Wie lukrativ der Markt ist, zeigen die Entwicklungen der letzten Jahre deutlich (-> "mobile threats report").

Es geht hierbei nicht nur um die Persönlichen Daten des Besitzers, sondern die ALLER Menschen, die im Adressbuch verzeichnet sind. Ich würde daher auf keinen Fall blauäugig irgendwelche Binaries installieren.

 

[Randall Flagg]

Der Indikator für Malware und schädliche Programme und Roms ist doch die Community selbst.
Wäre die Sachen irgendwie faul, würde das sehr schnell an's Tageslicht kommen und es wäre die eben auch die Community, die reagieren würde und zwar schneller als jeder Hersteller das machen würde.
Als damals diese Carrier Geschichte aufkam, da war es Supercurio, der als erster eine App gebracht hat, mit der man die Geräte durchsuchen konnte.
Die App war schon draußen, da hatten Kaspersky und Co noch nicht ausgeschlafen.

Man muss auch immer gucken, von wem man sich etwas installiert. Kommt es von Leuten wie Chainfire, Supercurio, Cyanogen Team usw. dann kann man es ohne Bedenken installieren.
Kommt es von Pavel Klomnowitsch aus Usbekistan, von dem im Leben noch nie jemand etwas gehört hat, ist man selbst schuld, wenn man sich so etwas installiert.
Brain.exe ist immer noch das Beste.
Außerdem musst Du auch sehen, dass viele Developer, wenn sie bekannt sind, von den Herstellern unterstützt werden.
Da werden Geräte verschenkt, Developer Editions raus gehauen usw. Welcher namenhafte Entwickler würde das auf's Spiel setzen?
Und was würde er damit erreichen?

Und warum sollten sie ihre Arbeit öffentlich machen? Machst Du Deine Projekte öffentlich, damit die Konkurrenz Zugang hat?
Und Deine Annahme, Apps wäre so sicher, wegen dem Berechtigungssystem.. Na ja.. Oder überblickst Du alles, dem Du da zustimmst, wenn Du im Store bestätigst?

Ich finde,man kann es auch übertreiben! Vor allem weil Du ja die Wahl hast, ob Du es installierst, oder eben nicht.
Fakt ist, ohne die Devs wäre Android nicht das, was es heute ist. Die Hersteller haben sich viel abgeschaut, was auch gut ist.

 

[Nakka]

Machst Du Deine Projekte öffentlich, damit die Konkurrenz Zugang hat?

Ja.

Oder überblickst Du alles, dem Du da zustimmst, wenn Du im Store bestätigst?

Na klar. Wenn eine Anwendung mehr Berechtigungen haben möchte als für ihre eigentliche Funktion nötig, installiere ich sie nicht.

Und warum sollten sie ihre Arbeit öffentlich machen?
[...]
Fakt ist, ohne die Devs wäre Android nicht das, was es heute ist.

Du widersprichst Dir hier. Einerseits lobst Du die OSS Entwickler und andererseits stellst Du die Frage, warum sie ihre Arbeit veröffentlichen sollten. Durch eben solche Art von Entwicklern (diejenigen die nur nehmen, aber nichts geben) kommt Android doch eben nicht voran!
Wie sollen denn die Anderen lernen, wenn alle nur ihr eigenes Süppchen kochen und das Rezept geheim halten?

Ich bin die Diskussion leid und erarbeite jetzt eine Offene Lösung für rockdev Tablets.

 

[JochenKauz]

Ich bin die Diskussion leid und erarbeite jetzt eine Offene Lösung für rockdev Tablets.

Na dann sind wir mal alle gespannt.

Ach nur so nebenbei, ich glaube das Problem von Android sind nicht die tausenden Entwickler die der Community versuchen zu helfen, sondern Android selber mit seiner teilweise geschlossenen Struktur, aber das ist Dir ja bekannt.

 

[Randall Flagg]

Ja.


Na klar. Wenn eine Anwendung mehr Berechtigungen haben möchte als für ihre eigentliche Funktion nötig, installiere ich sie nicht.


Du widersprichst Dir hier. Einerseits lobst Du die OSS Entwickler und andererseits stellst Du die Frage, warum sie ihre Arbeit veröffentlichen sollten. Durch eben solche Art von Entwicklern (diejenigen die nur nehmen, aber nichts geben) kommt Android doch eben nicht voran!
Wie sollen denn die Anderen lernen, wenn alle nur ihr eigenes Süppchen kochen und das Rezept geheim halten?

Ich meinte damit auch eher, ob Du alle Berechtigungen durchschaust,für was genau die gebraucht werden.

Zu der Arbeit der Devs und Android voran bringen: Du siehst das falsch, denn Du musst den ganzen Satz verstehen, nicht nur einen Teil raus suchen.
Es war schon oft so, dass die Devs Sachen in Ihre Roms gebaut haben, die dann von den Herstellern übernommen wurden.
Beispiel Galaxy S2: Dort gibt's Schnellzugriffe für WLan, BT, Daten Sync etc. im DropDown Menü.
Die Devs haben diese nun erweitert und zusätzliche Icons eingebaut. Da die nicht alle rein gepasst haben, hat man das Ganze scrollbar gemacht und Samsung hat dies übernommen und beim S3 gab es eine scrollbare Leiste.
Das ist ein kleines Beispiel, wo sich Hersteller an den Devs orientieren.
Bei Google kann man es auch schön beobachten, wie dem puren Android immer wieder solche Sachen hinzu gefügt werden. Oder das Ur Galaxy: Das lief ziemlich bescheiden, auf RFS. Also haben die Kernel Bauer und Rom Köche das System auf ext2 laufen lassen bzw.ext4. Das war wesentlich smoother und stabiler. Beim S2 hat Samsung das dann auch so gemacht.
Ich rede also nicht davon, andere Devs voran zu bringen, sondern das System als Ganzes. Wo ist also der Widerspruch?
Du redest von den Bäumen, ich vom Wald.

 

[hävksitol]

Bitte in weiteren Beiträgen nur noch zum eig. Thema des Threads posten "Wie genau wird sichergestellt, dass in OMA ICS keine Malware enthalten ist?". Für allgemeinere Diskussionen zum Thema Devs/Community/Android/etc. gibt es andere Stellen hier im Forum, wo jene besser untergebracht sind. Danke.

 

[JochenKauz]

Warum?
Wir sind hier doch exakt bei dem Thema oder ich sage mal lieber dem Tenor des Threads. Dieser Thread ist ein wunderschönes Beispiel wie gegen Devs die ihre Freizeit damit zubringen der Community etwas zu geben, ein allround Bashing durchgeführt wird. Wenn es hier tatsächlich nur um die Thread Frage gehen würde, dann hätte der hier schon vor dutzenden Posts geschlossen werden müssen.

 

[hävksitol]

Dieser Thread ist ein wunderschönes Beispiel wie gegen Devs die ihre Freizeit damit zubringen der Community etwas zu geben, ein allround Bashing durchgeführt wird.

& genau deswegen soll ja eben nur noch zu der eig. Frage gepostet werden: Die Frage ist per se ja nicht illegitim, polemische Äußerungen sind aber unerwünscht.

Sollte es nicht möglich sein, diesen Thread unter diesen Bedingungen offen zu halten, dann wird er geschlossen werden.

& damit bitte zurück zum Thema.

 

[JochenKauz]

Dann soltest Du den Thread dicht machen, denn "polemisches" Zeug lese ich hier seit 3 Seiten.

Als Antwort auf die Frage.. Es gibt keine Sicherheit.
An diejenigen OpenSource Verfechter hier die sich beschweren, niemand kann sagen ob ein Kompilat auch den Sourcen entsprungen ist, da muss man einfach vertrauen.

Und Tschüss.

 

[hävksitol]

& diese Polemik war überwiegend, das muss man leider feststellen, in den Beiträgen der Pro-Vertrauen-Fraktion (zu der ich mich, das mag manche überraschen, persönlich selbst auch zähle) vorhanden.

Also: Um weitere Eskalation abzuwenden: Schicht im Thread.

PS: Zur Sache noch ein Zitat von fr3ts0n:

Sourcen findest du auf GitHub ( z.B. https://github.com/crewrktablets ) wo unsere auch demnächst landen werden.