Sicherheitsupdates? Android-OEMs beim Schummeln erwischt

Wer glaubt, dass sein Android-Smartphone nach einem vermeintlichen "Security-Update" wirklich sicherer geworden ist, wird jetzt überrascht sein: Laut einer Untersuchung der deutschen Sicherheitsfirma Security Research Labs täuschen einige ... mehr... Google, Android, Sicherheit, Malware, Security, Virus, Schadsoftware, schloss Bildquelle: Google Google, Android, Malware, Virus Google, Android, Malware, Virus Google

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Die Frage ist ob man Patches einbauen muss, für Programmteile, die sowieso in der eigenen Oberflächen ersetzt wurden.
Muss man einen Patch für einen Snapdragon einbauen, wenn man selber einen anderen Prozessor benutzt?
 
@floerido: Was vorhanden ist musst gepatcht werden, was nicht im Image vorhanden ist muss auch nicht gepatcht werden. Wenn der SoC eine Rolle spielt liegt der Fehler im Baseband (Firmware) oder einem Treiber. Daher wird eine Lücke im Treiber/Baseband eines Snapdragon SoC bei einem MediaTek/Exynos Gerät nicht vorhanden sein da die Komponente Treiber komplett fehlt und damit muss sie auch nicht gepatcht werden...Das Problem ist (von den Datumsfälschern abgesehen) meist das z.B. MediaTek wie schon gesagt kaum Updates von Treibern/Baseband anbietet. Dadurch kann eine Lücke die bei anderen Geräten im Patch Stand 01.11.17 geschlossen wurde nicht behoben werden. Andere Fehler/Lücken die im Patch Stand 01.12.2017 behoben wurden hat das Gerät aber bekommen...wie verhält man sich? Man hat eine Lücke in 01.11.2017 nicht geschlossen (die 5 Anderen aber schon) und müsste damit dauerhaft auf 01.10.2017 stehen bleiben obwohl alle Patches von 01.12.2017 umgesetzt wurden. Wie zeigt man das richtig an? Klar eine 5KM Lange Liste der einzelnen Patches (CVE 2011-xxxx bis CVE 2018-xxxx) wäre möglich aber wer blickt dann noch durch?
 
@Nero FX: der Titel dieser News ist eh Clickbait. Dass zur Täschung das Datum geändert wird, hat die Sicherheitsfirma nie gesagt, sondern nur dass einzelne Patches fehlen.
 
@mgutt: Steht 1:1 da:

"Sometimes these guys just change the date without installing any patches. Probably for marketing reasons, they just set the patch level to almost an arbitrary date, whatever looks best."
 
@floerido: Ob es gepatcht werden muss oder nicht, ist bei diesem Thema nicht relevant. Wenn man in der Anzeige ein Patchlevel angibt, hat dieses auch vorhanden zu sein. Es geht bei diesem Patchlevel von Android nicht um die Treiber oder Komponentenfirmwares, sondern um das Android System als solches. Gerätetreiber und Komponentenfirmwares werden erst später vom Hersteller hinzugefügt und genau da scheint die Ursache zu sein, weshalb getrickst wird, weil das macht ja Arbeit und kostet folglich Geld.
 
Das ist der Untergang von Android.
 
@CoolMatze: ja ist klar. Als ob es den Standarduser kümmert auf welchem Patchlevel das eigene Handy ist.
 
@Homie75: Es muss nur für den Standarduser bewusst werden. Dem Einzelnen ist es Wurscht. Aber vielleicht sind ja doch mehr, die ein bissel Verstand haben?
 
@CoolMatze: Wenn DAS der Untergang von Android sein soll, wäre Android schon vor Jahren untergegangen.
 
@TomW: Das stimmt allerdings auch wieder... ^^
 
also ich bin erstaunt, ich habe das Moto G5 und Motorola (Lenovo) hat sich einfach geweigert aktuelle Sicherheits Updates heraus zu bringen. Nun .... seit Jan. 18 kommt aufeinmal ein Sicherheitsupdate nach dem anderem raus und erst heute wieder Sicherheits Updates bis 1.Mrz. Ist man gar nicht gewohnt, dass Lenovo Sicherheits Updates raus bringt.
 
@Faith: Oreo kommt vermutlich auch erst, wenn ich das Ding (Moto G5 Plus) in die Tonne kloppe und durch das G7 Plus ersetze. Aber vielleicht bringt bis dahin ha auch OnePlus oder Oppo was brauchbares hierzulande. Huawei baut zwar ganz gute Geräte, aber der Support von denen ist ja so was von für den Arsch.
 
@gandalf1107: Also ich hab seit 4 Jahren nur Huawei. derzeit das Mate 9 und das bekommt alle Monate ein Update, seit im Dezemder Oreo draufkam.
Ebenso wurde bereits 2 mal ein Mate S vor Ort ausgetauscht, ohne grosse Probleme. Ich kenne da andere Hersteller, die da anders sind.
 
das ist ja wirklich dreißt..nur das Datum zu ändern und vorzugaugeln das Patches installiert wurden..
 
Schöne Android-Welt... das Google das so schleifen läßt und nicht durchgreift, wirft kein gutes Licht auf den Konzern... sind ja schon fast wie MS bitte...
Klump raushaun und hinter mir die Sintflut...
 
@Zonediver: Warum sollten sie? Marktanteil wächst und wächst und die, die es wissen sollten (Technik-Freaks) finden Android auch noch hammergeil, weil es ja "Open Source" ist, obwohl das nur die halbe Wahrheit ist. Und die Masse interessieren Sicherheitslücken eh nicht, solange sie nicht selbst einen spürbaren Nachteil dadurch haben. Hauptsache, das Handy ist billig und alle 2 Jahre spätestens gibt es ein neues via Vertrag.
 
@eN-t: Je eh klar - und alle 2 Jahre brauchst sowieso ein Neues, weil dann der Akku hinüber is und man den - oh WUNDER - ned tauschen kann!!!
Das Wiko, das ich hier hab, ist auch so ein Rotz... zwei Jahre alt, noch "nie" ein Update erhalten, Akku komplett im Eck... ein Fall für die Tonne...
 
@Zonediver: Echt jetzt? Du kaufst ein billigstes Handy und erwartest ernsthaft Support durch den Hersteller und Qualität ?
 
@iPeople: Für einen billigen Windows 10 PC erhält man viele Jahre lang Unterstützung für das Betriebssystem.
 
@Unglaublich: Und jetzt überdenke mal Deine Aussage hinsichtlich der Rollenverteilung
 
@iPeople: Im prinzip hat er Recht. Es ist ein extremer Design-Fehler von Android, dass Updates nicht wie bei Windows-PCs unabhängig von Geräteherstellern eingespielt werden können.
 
@Link: nur das er das nicht gemeint haben wird
 
@eN-t: Besser hätte ich es nicht ausdrücken können...
 
@Zonediver: "sind ja schon fast wie MS bitte..."
Verstehe ich nicht, wo verteilt den MS keine Sicherheitspatche?
 
@L_M_A_O: MS macht das genauso - irgendwas raushaun, nach zwei Jahren defekt... selber Mist...
Und die Patcherei is bei MS sowieso ein Witz - ich glaub, die machen das absichtlich, damit sie beschäftigt sind.
Gute Software? Brauchma ned... BananaWare - wir patchen das Klump ewig und wenns dann alt is, kommt was Neues (Win 10) und die Patcherei geht von vorne los...
Die Auflösung der Windows-Abteilung bei MS sagt ja eh schon alles... scheinbar habe's die Nase schon selbst voll von dem Klump...

Aber die Eingentliche Frage ist ja eine andere:
Was sagt das über einen Software-Konzern aus, wenn er ein OS jahrelang patched, und der Mist "noch immer" voller Fehler ist???
Unfähig? Absicht? Keinen Plan, oder einfach die Übersicht verloren?
 
@Zonediver: Andersrum wird ein Schuh draus: Die Entwickler, die ihre Nutzer von ständigen Updates "verschonen", tun dies nicht, weil ihre Software fehlerfrei ist und keine Lücken hat, sondern weil sie sich einfach einen Dreck darum scheren. Aus den Augen, aus dem Sinn. Hundert bei Windows aber nirgendwo anders gepatchte Lücken, bedeutet nicht, dass die Lücken woanders nicht da sind, sondern eher, dass sie woanders höchstwahrscheinlich einfach ungepatcht sind, weil der Entwickler sche*ße ist.
 
@Zonediver: Tja, gibt ja keine Konkurrenz mehr
 
Und täglich grüßt das Googletier. So langsam muss man an der geistigen Zurechnungsfähigkeit der Leute zweifeln. Wenn man sich schon ein Android holt, dann bitte eines mit direkter Updateversorgung. Aber heutzutage muss es naturlich ein Hauweia oder sontiger Müll sein. Umso schlechter man den fernöstlichen Hersteller aussprechen kann, desto besser!
 
@feikwf: Hauweia, XiaOMI und wie die ganzen China Marken heißen. Das ist alles der selbe Elektroschrott.
 
@Unglaublich: Es heißt hua wei und xiao mi, und wenn das alles Schrott ist, warum hast du dann Mobilfunk Empfang? Schließlich ist Huawei Ausrüster aller Mobilfunkanbieter, Xiaomi ist ein Hersteller von allem möglichen, von Werkzeug bis zu tischlampen, von Smartphones bis zu Elektroscootern.
 
Das ist echt das letzte. Geht ja schon los wie beim Gammelfleisch. DLG prämiert, aber nur scheisse drin. Falls jemand hier solche, auch nicht unwichtigen, News verfolgt.
 
Ich sehe gar nicht ein Hunderte von Euro auszugeben nur um Updates zu kriegen, nicht jeder hier in Deutscland kann sich überteuerte Handys leisten.
 
@Andre Passut: Dann musst du halt länger sparen und das Gerät auch länger nutzen.
 
@Andre Passut: Wer billig kauft, kauft zweimal.
 
Apple und seine Aktionäre wird's freuen, die kommen vor lachen nicht in den Schlaf ^^
 
@Metropoli: Ach nein, solche Nachrichten kommen im Mainstream doch ohnehin nicht an und ändern das Kaufverhalten nicht relevant.
Nichtsdestotrotz ist die ganze Geschichte natürlich auch ein Resultat der Defragmentierung des Betriebssystem. Google werden solchge Vorfälle sicher ein Dorn im Auge sein und ich hoffe, sie können diese Schweinerei zukünftig unterbinden. Besonders ärgerlich ist dabei, dass es nicht nur die sogenannten Chinaböller betrifft, sondern auch große Player wie Samsung: "Samsung's 2016 J3 claimed to have every Android patch issued in 2017 but lacked 12 of them-two considered as "critical" for the phone's security."
 
@Sven68: Du meinst Fragmentierung.
 
@DON666: Richtig. :)
 
@Metropoli: Und dann kommt es raus, dass Apple auch nicht konsistent patched, weil der Patch nur für eine bestimmte hardware Version benötigt wird.
 
@Metropoli: Als Sicherheitsupdates je ernsthaft einfluss auf den verkauf hatten
 
Ihr könnt jetzt Lachen oder nicht. Noch immer nutze ich mein Lumia 950.
Es hat erst vorgestern wieder ein (Sicherheits-)update bekommen und das obwohl Windows 10 mobile quasi aufgegeben wurde.
Bisher vermisse ich noch Nichts, was aktuelle Apps betrifft und deshalb werde ich mein 950 weiter nutzen.
Und wenn ich der Letzte bin, der irgendwann das Licht bei Windows 10 mobile ausmacht ;-))
 
@Max1234: Da hab ich aber auch noch ein Wörtchen mitzureden! Ich brauch wohl für das 950 XL mal demnächst nen neuen Akku, aber ansonsten läuft es.
 
@Max1234: Mein L950 läuft auch, auch wieder tadellos seit dem neuen Akku. Wenn das stirbt oder keine Patches mehr kommen wechsel ich in ein anderes Lager.
 
@Max1234: Hat es ein Sicherheitsupdate erhalten oder hat es nur ein angebliches Sicherheitsupdate gegeben. ;-)
Bei Closed-Source-Projekten musst du dort dem Herausgeber vertrauen.
 
@Max1234: Hoffe dass bald irgendwas ala Surface Phone kommt, spricht mich derzeit weder Android noch IOS an. Unglaublich schade haben sie zurückgerudert mit Mobile...
 
Wer sicher sein will, muss so eins nehmen, ganz klar. Mangels Verbreitung werden die auch ned angegriffen. Auch mal ein Vorteil. Wenn auch einer der wenigen.
 
Allen, die sich jetzt mit einem aktuellen LineageOS in Sicherheit wiegen sei an dieser Stelle mal folgendes gesagt: der "Stand der Sicherheitsupdates" ist im Prinzip nicht mehr als ein Stück Text. Wenn der/die Kernel-Maintainer eures Gerätes Sicherheitslücken im Kernel nicht schließen können (z.B. weil diese in proprietären Binaries stecken) oder wollen (ist ja für die meisten Freizeit), dann ist auch ein aktuelles LineageOS gespickt mit allerlei Sicherheitslücken. Und das ist bei sozusagen allen Kerneln, schon allein aufgrund der Binaries, der Fall. Siehe https://cve.lineageos.org/kernels
 
@cnrd: Sicherheit hat immer etwas mit Vertrauen zutun, auch bei anderen Systemen.
 
@floerido: Stimmt schon. Solle auch keine Kritik an LineageOS sein, ganz im Gegenteil. Bei LineageOS kann ich den Status wie oben zu sehen ist wenigstens selbst prüfen. Ich wollte das hier nur mal fallenlassen, da ich selbst im XDA-Forum immer wieder diese Fehlannahme lese, dass Geräte mit einem offiziellen und aktuellen LineageOS per se sicher sind.
 
Was? Beim Schummeln erwischt? Dachte Android ist der Inbegriff von Sicherheit und Sicherheitsupdates... wer konnte denn sowas ahnen, dass hier die Hersteller auch noch schlampig arbeiten?
 
Da lobe ich mir Motorola (Lenovo), die belassen gegenwärtig ihr Flagship Phone "Moto Z" offiziell auf dem Stand vom 1. Dezember: "Ihr Gerät ist auf dem aktuellen Stand". Da weiß man als Kunde, woran man ist.

Ernsthaft, im Artikel fehlt leider ein Hinweis auf die App SnoopSnitch (im Playstore), mit der man selbst überprüfen können soll, welche Sicherheitsupdates auf dem eigenen Phone tatsächlich vorhanden sind.
Um beim Beispiel "Moto Z" zu bleiben, ein Patch aus 2017-06 fehlt laut der App und 13 Ergebnisse sind "inconclusive".
 
Ihr könnt mit dieser App euer Android testen:
https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch&hl=de
 
Also ich kenn mich mit Smartphones nicht wirklich aus, aber die Frage die ich mir stelle ist, warum es nicht möglich ist ein reines Android zu machen und ähnlich wie in Windows werden nur die entsprechenden Treiber installiert. Die Updates werden dann direkt von irgendeinem google Server bereitgestellt so wie bei Microsoft mit Windows.
 
@bigt.: Das ist leider ein konzeptionelles Problem von Android, aber ab Android 8 gehen die Bemühungen mit dem "Project Treble" in genau diese Richtung. Damit wird das Betriebssystem quasi in zwei Ebenen geteilt: Einen Hardwarenahen Layer, der die Treiber enthält und einen Android OS-Layer, in dem das Betriebssystem läuft. Der OS-Layer sollte damit leichter auf dem aktuellen Stand gehalten werden können.
 
@Lilien: Ok, danke!
 
Ich Bete dass mein BlackBerry mit OS10 noch sehr lange hält.
 
die aufstellung der fehlenden patches ist etwas seltsam ...
0-1
1-3
3-4
4+

sorry das sind unlogische überschneidungen 1 ist in gruppe 0-1 und 1-3 etc. der grafik fehlt es stark an aussagekraft so :(
 
@dustwalker13: Das passiert vermutlich, wenn man Dezimalbrüche verwendet "Patches für die Geräte / Anzahl der Geräte" oder so ähnlich und dieses ist dann auf die Skala abgebildet.
Richtig wäre dann eher
kleiner 1
kleiner 3
kleiner 4
größer 4

Bei den Chipherstellern wird es deutlicher.
Samsung < 0.5
Qualcomm 1.1
HiSilicon 1.9
Mediathek 9.7
 
Also angesichts dessen, was die Hersteller von androidbasierten Geräte sonst so unter Support mit Sicherheitsupdates verstehen, muss ich zugeben, dass mich die News jetzt irgendwie gar nicht überrascht hat.
 
Meine auf Lineage-OS basierenden 4 Geräte, haben dieses Problem wohl eher nicht, oder? ;-)
 
@Candlebox: Nein, denn du hast die Hersteller mit deiner Bastelei ja schon aus der Pflicht genommen.
 
Wenn ich lese, dass Samsung 0-1 Patch nicht veröffentlicht haben soll, dann kann das meines Erachtens nach nicht stimmen.
 
@teddy4you: Vielleicht ist das Image auch einfach schlechter als die Realität? Einmal im Monat kommt dort schon das Update für das Patch-Level. Dieses ist auch getrennt vom Feature-/API-Level verteilbar.
 
Ach ist das süß, wie leidenschaftlich die Android-Kiddies ihr System gegen jede Kritik verteidigen.
Millionen kostenlose Lobbyisten, die sich nichtmal im klaren sind, wen sie da verteidigen :-)))
Kommentar abgeben Netiquette beachten!
Einloggen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles