Folgen

Wer sein -Gerät lange nutzen will, muss früher oder später unsichere Software in Kauf nehmen. Warum Apple mit seinen iPhones einen besseren Job macht und was ihr tun könnt, um euer Android-Handy zu nutzen, erfahrt ihr im Video. peertube.mobilsicher.de/w/2Xkf

· · Web · 4 · 8 · 11

@mobilsicher Viele ältere #Android -Geräte , die keine Updates der Hersteller mehr erhalten, können auch teilweise noch mit #CustomROMs wieder auf ein aktuelles Betriebssystem gebracht werden, da gibt es inzwischen viel Auswahl und immer mehr Geräte, die unterstützt werden. Ich hatte mich auch mal an einem Überblicksartikel versucht zum Thema versucht:
gnulinux.ch/custom-roms-freie-

Diskussion und Ergänzungen dazu auch hier:
metalhead.club/@caos/107534923

@caos @mobilsicher Die Firmware wird dabei oft trotzdem nicht aktualisiert also leider immer noch ein aus meiner Sicht unkalkulierbares Sicherheitsrisiko ☹️

@sailreal
Hast du eine Quelle für einen echten, erfolgreichen Angriff über eine unsichere bzw veraltete Firmware in the wild?
Ich halte dieses Argument für irrelevant, solange es nicht um "echte" Geheimnisträger geht. Für das alltägliche Ausspionieren von Otto Normal ist ein Angriff über gerätespezifische Firmware-Lücken zu aufwändig. Und wer wirklich solchen Aufwand betreiben will, findet sicher andere Wege.
Sogar die ach so sicheren iPhones lassen sich hacken.
@caos @mobilsicher

@oausi @caos @mobilsicher Nehmen wir zum Beispiel das Security Update vom Mai 2021: source.android.com/security/bu

Dort gibt Google folgendes an: "There are indications that CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 and CVE-2021-28664 may be under limited, targeted exploitation. "

Wäre diese Hardware nicht mehr unterstützt, würden sie von e.g. Qualcomm nicht gefixt und könnten weiter aktiv ausgenutzt werden.

Natürlich muss man das für sich abwägen, ich habe nur von meiner Sichtweise gesprochen.

@sailreal
Genau, meine Abwägung lässt mich da eher beruhigt schlafen, da ich nicht erwarte, dass jemand für mich den Aufwand einer "limited targeted exploitation" auf sich nimmt.

Die Angriffe, die ich erwarte, sind eben nicht "targeted", sondern zielen auf Sicherheitslücken, die auf mindestens jedem zweitem Android vorhanden sind, weil die monatlichen Google-Patches nicht angeboten oder installiert wurden.

Gegen individuell gezielte Angriffe bin ich so oder so machtlos.
@caos @mobilsicher

@sailreal @caos @mobilsicher
Noch ein Aspekt, der das Argument der fehlenden Firmware-Aktualisierungen bei Custom-ROMs m.E. relativiert, ist, dass die OEMs diese Lücken in der Regel auch nicht immer zuverlässig und schon gar nicht zeitnah schließen.
Ich habe es nicht überprüft, aber ich wage zu bezweifeln, dass alle bekannten CVEs von allen Herstellern innerhalb des Support-Zeitraums zügig gefixt werden.

@oausi @caos @mobilsicher Eines der Maßnahmen für InfoSec ist keine EOL Software einzusetzen. Als Anwender hat man keinen direkten Einfluss auf die Update-Freudigkeit eines Hersteller.Sollte da einer nicht immer up-to-date sein würde es für mich aber trotzdem nicht bedeuten, dass ich komplett darauf verzichte.
Selbst bei gezielten Angriffen ist die Frage wie einfach man es der Gegenstelle macht,darum geht es IMO bei InfoSec...hoffentlich so schwer dass die Kosten/Aufwand den Nutzen überwiegen.

@sailreal
Die Update-Freudigkeit vom LineageOS-Maintainer meines Uralt-Smartphones ist jedenfalls *deutlich* höher, als die des Herstellers jemals gewesen ist.
Das Ding ist seit Android 6 EOL, also seit fünf oder sechs Jahren und bekommt nach wie vor wöchentlich LOS-Updates, die ich jeweils 1x monatlich nach der Integration der Google-Security-Patches installiere. Aktuell für LineageOS 18.1 (Android 11).
Wie du schon sagst: Abwägung. Aber einen Tod muss man sterben.
@caos @mobilsicher

@mobilsicher also es gibt wohl noch einige die mit Android 7/8/9 herumlaufen. Und bei anderen geht es eher darum, das neuste zu haben und nicht, weil es keine Updates mehr gibt.

@Tealk @mobilsicher Manche Hersteller verhindern aktiv, dass ein neues/anderes BS aufgespielt wird - oder es gibt est gar keines.

@Rako_Lohgar
wie viele User, außerhalb der Datenschutz Bubble kennst du, die sich damit befassen, würden ein anderes Betriebssystem aufzuspielen?
@mobilsicher

@mobilsicher
Eine Frage an euch Expertinnen und Experten : hatte Google nicht vor X Android Versionen genau deswegen irgendein Feature eingeführt, dass sie wenigstens die Sicherheit oder den Android Core aller Android Telefone von sich aus patchen/updaten können, ohne auf die OEMs angewiesen zu sein?

Melde dich an, um an der Konversation teilzuhaben
MastodonTech.de

Mastodon ist ein soziales Netzwerk. Es basiert auf offenen Web-Protokollen und freier, quelloffener Software. Es ist dezentral (so wie E-Mail!).