[o1] floerido am 12.04. 22:03
+3
-14
Die Frage ist ob man Patches einbauen muss, für Programmteile, die sowieso in der eigenen Oberflächen ersetzt wurden.
Muss man einen Patch für einen Snapdragon einbauen, wenn man selber einen anderen Prozessor benutzt?
Muss man einen Patch für einen Snapdragon einbauen, wenn man selber einen anderen Prozessor benutzt?
@floerido: Was vorhanden ist musst gepatcht werden, was nicht im Image vorhanden ist muss auch nicht gepatcht werden. Wenn der SoC eine Rolle spielt liegt der Fehler im Baseband (Firmware) oder einem Treiber. Daher wird eine Lücke im Treiber/Baseband eines Snapdragon SoC bei einem MediaTek/Exynos Gerät nicht vorhanden sein da die Komponente Treiber komplett fehlt und damit muss sie auch nicht gepatcht werden...Das Problem ist (von den Datumsfälschern abgesehen) meist das z.B. MediaTek wie schon gesagt kaum Updates von Treibern/Baseband anbietet. Dadurch kann eine Lücke die bei anderen Geräten im Patch Stand 01.11.17 geschlossen wurde nicht behoben werden. Andere Fehler/Lücken die im Patch Stand 01.12.2017 behoben wurden hat das Gerät aber bekommen...wie verhält man sich? Man hat eine Lücke in 01.11.2017 nicht geschlossen (die 5 Anderen aber schon) und müsste damit dauerhaft auf 01.10.2017 stehen bleiben obwohl alle Patches von 01.12.2017 umgesetzt wurden. Wie zeigt man das richtig an? Klar eine 5KM Lange Liste der einzelnen Patches (CVE 2011-xxxx bis CVE 2018-xxxx) wäre möglich aber wer blickt dann noch durch?
@floerido: Ob es gepatcht werden muss oder nicht, ist bei diesem Thema nicht relevant. Wenn man in der Anzeige ein Patchlevel angibt, hat dieses auch vorhanden zu sein. Es geht bei diesem Patchlevel von Android nicht um die Treiber oder Komponentenfirmwares, sondern um das Android System als solches. Gerätetreiber und Komponentenfirmwares werden erst später vom Hersteller hinzugefügt und genau da scheint die Ursache zu sein, weshalb getrickst wird, weil das macht ja Arbeit und kostet folglich Geld.
@CoolMatze: ja ist klar. Als ob es den Standarduser kümmert auf welchem Patchlevel das eigene Handy ist.
also ich bin erstaunt, ich habe das Moto G5 und Motorola (Lenovo) hat sich einfach geweigert aktuelle Sicherheits Updates heraus zu bringen. Nun .... seit Jan. 18 kommt aufeinmal ein Sicherheitsupdate nach dem anderem raus und erst heute wieder Sicherheits Updates bis 1.Mrz. Ist man gar nicht gewohnt, dass Lenovo Sicherheits Updates raus bringt.
[re:1] gandalf1107 am 12.04. 23:27
@Faith: Oreo kommt vermutlich auch erst, wenn ich das Ding (Moto G5 Plus) in die Tonne kloppe und durch das G7 Plus ersetze. Aber vielleicht bringt bis dahin ha auch OnePlus oder Oppo was brauchbares hierzulande. Huawei baut zwar ganz gute Geräte, aber der Support von denen ist ja so was von für den Arsch.
[re:1] kleinespegasus am 13.04. 13:26
[o4] Computerfreak-007 am 12.04. 22:45
das ist ja wirklich dreißt..nur das Datum zu ändern und vorzugaugeln das Patches installiert wurden..
Schöne Android-Welt... das Google das so schleifen läßt und nicht durchgreift, wirft kein gutes Licht auf den Konzern... sind ja schon fast wie MS bitte...
Klump raushaun und hinter mir die Sintflut...
Klump raushaun und hinter mir die Sintflut...
@Zonediver: Warum sollten sie? Marktanteil wächst und wächst und die, die es wissen sollten (Technik-Freaks) finden Android auch noch hammergeil, weil es ja "Open Source" ist, obwohl das nur die halbe Wahrheit ist. Und die Masse interessieren Sicherheitslücken eh nicht, solange sie nicht selbst einen spürbaren Nachteil dadurch haben. Hauptsache, das Handy ist billig und alle 2 Jahre spätestens gibt es ein neues via Vertrag.
@eN-t: Je eh klar - und alle 2 Jahre brauchst sowieso ein Neues, weil dann der Akku hinüber is und man den - oh WUNDER - ned tauschen kann!!!
Das Wiko, das ich hier hab, ist auch so ein Rotz... zwei Jahre alt, noch "nie" ein Update erhalten, Akku komplett im Eck... ein Fall für die Tonne...
Das Wiko, das ich hier hab, ist auch so ein Rotz... zwei Jahre alt, noch "nie" ein Update erhalten, Akku komplett im Eck... ein Fall für die Tonne...
@Zonediver: Echt jetzt? Du kaufst ein billigstes Handy und erwartest ernsthaft Support durch den Hersteller und Qualität ?
@Zonediver: "sind ja schon fast wie MS bitte..."
Verstehe ich nicht, wo verteilt den MS keine Sicherheitspatche?
Verstehe ich nicht, wo verteilt den MS keine Sicherheitspatche?
@L_M_A_O: MS macht das genauso - irgendwas raushaun, nach zwei Jahren defekt... selber Mist...
Und die Patcherei is bei MS sowieso ein Witz - ich glaub, die machen das absichtlich, damit sie beschäftigt sind.
Gute Software? Brauchma ned... BananaWare - wir patchen das Klump ewig und wenns dann alt is, kommt was Neues (Win 10) und die Patcherei geht von vorne los...
Die Auflösung der Windows-Abteilung bei MS sagt ja eh schon alles... scheinbar habe's die Nase schon selbst voll von dem Klump...
Aber die Eingentliche Frage ist ja eine andere:
Was sagt das über einen Software-Konzern aus, wenn er ein OS jahrelang patched, und der Mist "noch immer" voller Fehler ist???
Unfähig? Absicht? Keinen Plan, oder einfach die Übersicht verloren?
Und die Patcherei is bei MS sowieso ein Witz - ich glaub, die machen das absichtlich, damit sie beschäftigt sind.
Gute Software? Brauchma ned... BananaWare - wir patchen das Klump ewig und wenns dann alt is, kommt was Neues (Win 10) und die Patcherei geht von vorne los...
Die Auflösung der Windows-Abteilung bei MS sagt ja eh schon alles... scheinbar habe's die Nase schon selbst voll von dem Klump...
Aber die Eingentliche Frage ist ja eine andere:
Was sagt das über einen Software-Konzern aus, wenn er ein OS jahrelang patched, und der Mist "noch immer" voller Fehler ist???
Unfähig? Absicht? Keinen Plan, oder einfach die Übersicht verloren?
@Zonediver: Andersrum wird ein Schuh draus: Die Entwickler, die ihre Nutzer von ständigen Updates "verschonen", tun dies nicht, weil ihre Software fehlerfrei ist und keine Lücken hat, sondern weil sie sich einfach einen Dreck darum scheren. Aus den Augen, aus dem Sinn. Hundert bei Windows aber nirgendwo anders gepatchte Lücken, bedeutet nicht, dass die Lücken woanders nicht da sind, sondern eher, dass sie woanders höchstwahrscheinlich einfach ungepatcht sind, weil der Entwickler sche*ße ist.
Und täglich grüßt das Googletier. So langsam muss man an der geistigen Zurechnungsfähigkeit der Leute zweifeln. Wenn man sich schon ein Android holt, dann bitte eines mit direkter Updateversorgung. Aber heutzutage muss es naturlich ein Hauweia oder sontiger Müll sein. Umso schlechter man den fernöstlichen Hersteller aussprechen kann, desto besser!
@feikwf: Hauweia, XiaOMI und wie die ganzen China Marken heißen. Das ist alles der selbe Elektroschrott.
[re:1] Alexmitter am 13.04. 13:11
Das ist echt das letzte. Geht ja schon los wie beim Gammelfleisch. DLG prämiert, aber nur scheisse drin. Falls jemand hier solche, auch nicht unwichtigen, News verfolgt.
[o8] Andre Passut am 13.04. 02:02
Ich sehe gar nicht ein Hunderte von Euro auszugeben nur um Updates zu kriegen, nicht jeder hier in Deutscland kann sich überteuerte Handys leisten.
@Gast87878: Ach nein, solche Nachrichten kommen im Mainstream doch ohnehin nicht an und ändern das Kaufverhalten nicht relevant.
Nichtsdestotrotz ist die ganze Geschichte natürlich auch ein Resultat der Defragmentierung des Betriebssystem. Google werden solchge Vorfälle sicher ein Dorn im Auge sein und ich hoffe, sie können diese Schweinerei zukünftig unterbinden. Besonders ärgerlich ist dabei, dass es nicht nur die sogenannten Chinaböller betrifft, sondern auch große Player wie Samsung: "Samsung's 2016 J3 claimed to have every Android patch issued in 2017 but lacked 12 of them-two considered as "critical" for the phone's security."
Nichtsdestotrotz ist die ganze Geschichte natürlich auch ein Resultat der Defragmentierung des Betriebssystem. Google werden solchge Vorfälle sicher ein Dorn im Auge sein und ich hoffe, sie können diese Schweinerei zukünftig unterbinden. Besonders ärgerlich ist dabei, dass es nicht nur die sogenannten Chinaböller betrifft, sondern auch große Player wie Samsung: "Samsung's 2016 J3 claimed to have every Android patch issued in 2017 but lacked 12 of them-two considered as "critical" for the phone's security."
Ihr könnt jetzt Lachen oder nicht. Noch immer nutze ich mein Lumia 950.
Es hat erst vorgestern wieder ein (Sicherheits-)update bekommen und das obwohl Windows 10 mobile quasi aufgegeben wurde.
Bisher vermisse ich noch Nichts, was aktuelle Apps betrifft und deshalb werde ich mein 950 weiter nutzen.
Und wenn ich der Letzte bin, der irgendwann das Licht bei Windows 10 mobile ausmacht ;-))
Es hat erst vorgestern wieder ein (Sicherheits-)update bekommen und das obwohl Windows 10 mobile quasi aufgegeben wurde.
Bisher vermisse ich noch Nichts, was aktuelle Apps betrifft und deshalb werde ich mein 950 weiter nutzen.
Und wenn ich der Letzte bin, der irgendwann das Licht bei Windows 10 mobile ausmacht ;-))
@Max1234: Da hab ich aber auch noch ein Wörtchen mitzureden! Ich brauch wohl für das 950 XL mal demnächst nen neuen Akku, aber ansonsten läuft es.
@Max1234: Mein L950 läuft auch, auch wieder tadellos seit dem neuen Akku. Wenn das stirbt oder keine Patches mehr kommen wechsel ich in ein anderes Lager.
@Max1234: Hat es ein Sicherheitsupdate erhalten oder hat es nur ein angebliches Sicherheitsupdate gegeben. ;-)
Bei Closed-Source-Projekten musst du dort dem Herausgeber vertrauen.
Bei Closed-Source-Projekten musst du dort dem Herausgeber vertrauen.
[re:4] Gärtner John Neko am 13.04. 11:57
Wer sicher sein will, muss so eins nehmen, ganz klar. Mangels Verbreitung werden die auch ned angegriffen. Auch mal ein Vorteil. Wenn auch einer der wenigen.
Allen, die sich jetzt mit einem aktuellen LineageOS in Sicherheit wiegen sei an dieser Stelle mal folgendes gesagt: der "Stand der Sicherheitsupdates" ist im Prinzip nicht mehr als ein Stück Text. Wenn der/die Kernel-Maintainer eures Gerätes Sicherheitslücken im Kernel nicht schließen können (z.B. weil diese in proprietären Binaries stecken) oder wollen (ist ja für die meisten Freizeit), dann ist auch ein aktuelles LineageOS gespickt mit allerlei Sicherheitslücken. Und das ist bei sozusagen allen Kerneln, schon allein aufgrund der Binaries, der Fall. Siehe https://cve.lineageos.org/kernels
@floerido: Stimmt schon. Solle auch keine Kritik an LineageOS sein, ganz im Gegenteil. Bei LineageOS kann ich den Status wie oben zu sehen ist wenigstens selbst prüfen. Ich wollte das hier nur mal fallenlassen, da ich selbst im XDA-Forum immer wieder diese Fehlannahme lese, dass Geräte mit einem offiziellen und aktuellen LineageOS per se sicher sind.
Was? Beim Schummeln erwischt? Dachte Android ist der Inbegriff von Sicherheit und Sicherheitsupdates... wer konnte denn sowas ahnen, dass hier die Hersteller auch noch schlampig arbeiten?
Da lobe ich mir Motorola (Lenovo), die belassen gegenwärtig ihr Flagship Phone "Moto Z" offiziell auf dem Stand vom 1. Dezember: "Ihr Gerät ist auf dem aktuellen Stand". Da weiß man als Kunde, woran man ist.
Ernsthaft, im Artikel fehlt leider ein Hinweis auf die App SnoopSnitch (im Playstore), mit der man selbst überprüfen können soll, welche Sicherheitsupdates auf dem eigenen Phone tatsächlich vorhanden sind.
Um beim Beispiel "Moto Z" zu bleiben, ein Patch aus 2017-06 fehlt laut der App und 13 Ergebnisse sind "inconclusive".
Ernsthaft, im Artikel fehlt leider ein Hinweis auf die App SnoopSnitch (im Playstore), mit der man selbst überprüfen können soll, welche Sicherheitsupdates auf dem eigenen Phone tatsächlich vorhanden sind.
Um beim Beispiel "Moto Z" zu bleiben, ein Patch aus 2017-06 fehlt laut der App und 13 Ergebnisse sind "inconclusive".
Ihr könnt mit dieser App euer Android testen:
https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch&hl=de
https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch&hl=de
Also ich kenn mich mit Smartphones nicht wirklich aus, aber die Frage die ich mir stelle ist, warum es nicht möglich ist ein reines Android zu machen und ähnlich wie in Windows werden nur die entsprechenden Treiber installiert. Die Updates werden dann direkt von irgendeinem google Server bereitgestellt so wie bei Microsoft mit Windows.
@bigt.: Das ist leider ein konzeptionelles Problem von Android, aber ab Android 8 gehen die Bemühungen mit dem "Project Treble" in genau diese Richtung. Damit wird das Betriebssystem quasi in zwei Ebenen geteilt: Einen Hardwarenahen Layer, der die Treiber enthält und einen Android OS-Layer, in dem das Betriebssystem läuft. Der OS-Layer sollte damit leichter auf dem aktuellen Stand gehalten werden können.
[18] dustwalker13 am 13.04. 16:23
die aufstellung der fehlenden patches ist etwas seltsam ...
0-1
1-3
3-4
4+
sorry das sind unlogische überschneidungen 1 ist in gruppe 0-1 und 1-3 etc. der grafik fehlt es stark an aussagekraft so :(
0-1
1-3
3-4
4+
sorry das sind unlogische überschneidungen 1 ist in gruppe 0-1 und 1-3 etc. der grafik fehlt es stark an aussagekraft so :(
@dustwalker13: Das passiert vermutlich, wenn man Dezimalbrüche verwendet "Patches für die Geräte / Anzahl der Geräte" oder so ähnlich und dieses ist dann auf die Skala abgebildet.
Richtig wäre dann eher
kleiner 1
kleiner 3
kleiner 4
größer 4
Bei den Chipherstellern wird es deutlicher.
Samsung < 0.5
Qualcomm 1.1
HiSilicon 1.9
Mediathek 9.7
Richtig wäre dann eher
kleiner 1
kleiner 3
kleiner 4
größer 4
Bei den Chipherstellern wird es deutlicher.
Samsung < 0.5
Qualcomm 1.1
HiSilicon 1.9
Mediathek 9.7
Also angesichts dessen, was die Hersteller von androidbasierten Geräte sonst so unter Support mit Sicherheitsupdates verstehen, muss ich zugeben, dass mich die News jetzt irgendwie gar nicht überrascht hat.
Wenn ich lese, dass Samsung 0-1 Patch nicht veröffentlicht haben soll, dann kann das meines Erachtens nach nicht stimmen.