Microsoft hätte man es nicht durchgehen lassen aber bei Google stört es keinen

[siggi%%44]

Die Hersteller sperren den Bootloader in einer Form, die es uns erschwert, ihn zu entsperren. Ich kenne nur zwei Hersteller, bei denen ich den BL durch bloßes ausführen von 'fastboot flashing unlock' entsperren kann: Google und OnePlus. Keine Wartezeit, kein Code oder sonstiges. Von allen Herstellern bietet Google die mit Abstand beste Dokumentation und v.a. beste Bereitstellung der eigenen Firmware von sauberen und schnellen Servern. Ich weiß nicht, ob es überhaupt ein Build für irgendein Modell gibt, welches Google nicht anbietet.

Sie haben in keinster Weise was gegen Root oder Entwickler, die sich damit beschäftigen. Sie alleine schränken auch niemanden ein. Aber sie wollen Android auch vorantreiben und dafür braucht es Hersteller, die Android nutzen und Firmen, die Apps für Android vertreiben wollen. Eine Firma hat kein Interesse daran, dass ihre Apps zu Zwecken des Endkunden manipuliert werden können. Sie haben auch kein Interesse daran, Schadenersatzleistungen in Folge dessen leisten zu müssen. Also muss Google auch Sicherheit bieten. Das wiederum ist das genaue Gegenteil von Root. So entstehen Dinge wie Android Verified Boot und Verschlüsselung und signierte Apps.

Vor 15 Jahren war ein Handy ein Telefon, inkl. kleiner Spielereien. Anrufen, SMS und Snake spielen. Etwas Verwaltung mit Kalender war auch dabei. Dann kamen Internetnutzung, E-Mail und Medien dazu. Heute ersetzt es alle Kommunikationsmittel und elektronischen Devices, die es vorher gab. Meine Fahrkarte in der Bahn wird mit dem Smartphone des Kontrolleurs überprüft. Handy gegen Handy. Alles lässt sich per App steuern, was ins Internet kann. Immer mehr Schnittstellen und immer mehr Code, wovon jede neue Zeile irgendwo im AOSP eine andere Lücke aufreißen kann. Keiner hat da noch einen Überblick und nutzbar sind diese Lücken in 99% der Fälle nur theoretisch. Aber alle fühlen sich davon bedroht und wollen die Patches. Nur bekommen sie dann eine E-Mail, klicken sie auf jeden Link und ihre Patches sind nutzlos. Dort steckt nämlich die Gefahr und die größte Lücke sitzt eigentlich vor dem Display und die wird niemals gestopft werden. Auch nicht mit 50 Jahren Updateversorgung. So sieht es leider aus.

 

[Olandos]

Sicherheitsupdate: 5. Juni 2021
Gut habe ich nun verstanden das Google das nicht kann wegen den Schreibrechten.
Ist also Sache des Herstellers.
Nur kümmert den das ja nicht.

Aber da gibt es ja noch das:
Google Play Systemupdate: 1. Oktober 2020

So wie ich es verstanden habe ist gerade dies von Google eingeführt worden damit sie selbst wenn Hersteller sich nicht kümmern da Updates aufspielen können.

Habe stundenlang im Internet gelesen, viele Berichte wo sich das auch nicht aktualisiert.
Verschiedene Tips und Tricks.
Play Dienst und App Store deaktivieren, Cache löschen, Storage löschen,. Safe Boot ausführen, etc.
Habe ich alles ausprobiert.
Hat alles nicht funktioniert.
Ganz am Ende habe ich das Tablet dann noch mal ganz neu aufgesetzt.
Also in Werkseinstellung zurück gesetzt.
Aber auch danach gehts nicht.
Es bleibt bei: Google Play Systemupdate: 1. Oktober 2020

Hier kann es ja nur daran liegen das Blackview ja nicht mit Stock Android betreibt sondern mit ihrem eigenem angepasstem Überbau, der sich Blackview Doke OS nennt.
Ich habe Doke OS 2.0 (Android 11) die neueren Blackview Tablets Doke OS 3.0 (Android 12)
Anders kann ich es mir nicht erlären wieso sich Google Play Systemupdate: 1. Oktober 2020 nicht aktualisiert.
Also hat der Hersteller mir auch noch die Möglichkeit weg genommen das Google über den Google Play Systemupdate wenigstens aktualisieren könnte.

 

[siggi%%44]

Hier kann es ja nur daran liegen das Blackview ja nicht mit Stock Android betreibt sondern mit ihrem eigenem angepasstem Überbau

Was das Google Play Systemupdate betrifft, blicke ich auch nicht ganz durch... Es kann nicht an einer Hersteller UI liegen, da die Updates über den Play Store laufen (sollten). Ich weiß, dass diese Updates auch über die mtl. Patches eingespielt werden. Zumindest bei Pixel Geräten. Aber mehr kann ich dazu auch nicht sagen.

 

[Olandos]

Politik und Gesellschaft ist ja der richtige Bereich dies zu erörtern.
Smartphones sollen ja aus Sicht der Politik immer mehr gefördert und bei sich getragen werden.
Gerade durch Corona und die dazugehörige Warn App wurden Smartphones ja noch einmal deutlich aufgewertet.
Und auch die Politik will ja das künftig alles aufs Smartphone soll.
Personalausweis, Führerschein, Krankenkasse
Das sind ja keine Forderungen der Industrie sondern der Politik.
Aber wenn dies so gewollt und gewünscht ist dann muss doch auch sicher gestellt werden, das die Geräte selbst also die Hardware auch sicher ist.
Und bei mir ist das eben nicht der fall.
2 bzw. 3 Jahre kein einziges Update, obwohl ja monatlich von Google Updates erscheinen.
So les ich dann monatlich "Google schliesst 58 Sicherheitslücken in Android".
Dann denk ich mir.
Ok. Mein letztes ist 24 Monate her.
24 Mal 58 (die Zahl natürlich unterschiedlich) ist gleich : 1392
1392 Sicherheitslücken die alle nicht geschlossen wurden.
Aber mein Gerät soll als Personalausweis, Führerschein, Krankenkassenkarte, etc herhalten.

 

[siggi%%44]

24 Mal 58 (die Zahl natürlich unterschiedlich) ist gleich : 1392

Das stimmt so nicht. Die Gesamtanzahl der mtl. Patches betrifft nie nur ein einziges Gerät. Manche Patches richten sich nur an eine bestimmte Version von Android, manche an alle (unterstützten). Außerdem werden immer Patches für Qualcomm und Mediatek zusammen veröffentlicht. Davon können dich logischerweise auch nicht alle betreffen.
https://source.android.com/docs/security/bulletin/asb-overview?hl=en
Es gibt auch Lücken, die nur unter bestimnten Voraussetzungen gefährlich sein könnten.

Die Beschreibung der einzelnen Patches ist zudem meist so formuliert: "Unter bestimmten Voraussetzungen könnte jemand Rechte erlangen mit denen möglicherweise etwas bestimmtes ausgeführt werden könnte und würde dann..."
Also wer nicht weiß, was ein Konjunktiv ist, der sollte sich einfach diese Beschreibungen durchlesen.

Im AOSP werden diese Patches veröffentlicht, indem die Codezeilen vorher und nachher verglichen werden. Jeder Hobby-Programmierer bekommt sozusagen eine Anleitung. Trotzdem gibt es keine Gefahr, weil alles zu 99,9% nur theoretisch existiert, ohne dass es jemals einen realen Exploit gab.

Google zahlt sog. "Kopfgelder" in bis zu 7-stelliger Höhe für das Aufspüren von Lücken.
https://www.googlewatchblog.de/2022/02/bug-bounty-google-millionen-dollar/

Natürlich wird es mit den Jahren und ausgelassener Patches nicht sicherer für einen User. Aber wirklich bedrohlich wird es auch nicht. Spätestens die Banken würden dann eine Grenze für ihre Apps ziehen, aber das machen sie nicht.

Ein Tipp: Lass dich nicht von irgendwelchen Technikportalen, Entwicklern von Antivirensoftware oder Google-Gegnern verrückt machen. Sie dramatisieren nur die Anzahl der gefundenen Patches jeden Monat, ohne irgendwas darüber zu wissen. Sie lesen nicht einmal die Seite, die ich oben verlinkt habe. Vermutlich kennen manche davon diese Seite nicht einmal.

 

[Olandos]

Nur bleibt am Ende das übrig womit ich dieses Thema ja eingeleitet hatte.
Die Zuständigkeit.
Google sagt sie updaten monatlich aber zuständig für mein Gerät ist der Hersteller.
Und der Hersteller sagt er verdient sein Geld mit dem Zusammenschrauben von Hardware.
Ich als Kunde sehe dann nur das niemand zuständig ist oder es auf andere weiter schiebt.
Deshalb hatte ich ja ganz anfangs den vergleich zu Microsoft gezogen, wenn man da auf Updates klickt und der Satz kommen würde: "Tut uns leid, wir sind nicht zuständig für Updates, bitte wenden sie sich an den Hersteller ihres Windows Gerätes".

 

[Axxid]

Aber mein Gerät soll als Personalausweis, Führerschein, Krankenkassenkarte, etc herhalten.

Einen Personalausweis oder Führerschein zu fälschen wird wahrscheinlich einfacher sein als manche “gravierende Sicherheitslücke” auszunutzen.

 

[siggi%%44]

Und der Hersteller sagt er verdient sein Geld mit dem Zusammenschrauben von Hardware.

Also jeder Hersteller weiß, dass er auch für die Patches verantwortlich ist.

 

[Olandos]

Naja das Blackview da so ein schwarzes Schaf ist habe ich auch erst nach dem Kauf des Gerätes erfahren.
Inzwischen sind die ja schon dabei ihren Namen in Oscal zu ändern, weil der Name Blackview hinsichtlich Support bereits erheblichen Schaden genommen hat.
Nur habe ich das alles erst durch meine Recherche warum sich da nichts aktualisiert erfahren.
Auf den Amazon Rezessionen ging es ja um das Gerät selbst, das ist ja auch technisch nicht schlecht ist.
Aber eins bleibt natürlich.
Ich kaufe im Leben nie mehr ein Blackview oder deren Nachfolger Oscal Gerät.
Ja können sie sich freuen einen Dummen gefunden zu haben den sie einmal abgezogen haben, aber echtes Geld verdient man wenn Kunden zufieden stellt und diese dann dem Untermehnen treu bleiben.
Aber das ist dann doch eher wieder ein anderes Thema.

 

[Web-Schecki]

können sie sich freuen einen Dummen gefunden zu haben den sie einmal abgezogen haben, aber echtes Geld verdient man wenn Kunden zufieden stellt und diese dann dem Untermehnen treu bleiben.

Das gilt sicher nicht überall. Wie viele Android-Nutzen wissen denn, ob ihr Gerät noch updates bekommt?

 

[Mettmelone]

Das wissen mit Sicherheit die wenigsten.

Erschreckender daran ist, das es auch nur die wenigsten interessiert, obwohl nun schon genug Leute das Smartphone zum Dreh-und Angelpunkt ihres Lebens machen.
Onlinebanking, shoppen, Paypal, Kreditkarte etc. Alles läuft über ein Gerät, auf dem man natürlich auch noch der bequemlichkeit halber sämtliche Zugangsdaten / Passwörter speichert.

Solange Facebook und Co funktionieren, ist doch alles super... Und wer sich alle 1-2 Jahre ein neues Gerät zulegt, wird auch sehr selten dahin kommen, sich über Updates viele Gedanken machen zu müssen. Zugegebenermassen: Die meisten der Sicherheitslücken, die bekannt werden, erfordern schon mindestens physischen Zugang zum Gerät und sich auch nicht für den Deppen von nebenan mal eben so machbar.

Obwohl sich mit Sicherheit auch genug Leute vorstellen, das es läuft wie im Fernsehen, wo der böse mit Mensch mit zwei Knopfdrücken den unbekannten Typen, den er vom Satelliten aus am anderen Ende der Welt beobachtet, mal eben hackt.

Da mangelt es dann aber einfach an Wissen. Und Aufklärung darüber setzt voraus, das sich das angesprochene Publikum auch aufklären lassen will. Was oft auch nicht der Fall ist.

 

[siggi%%44]

Wofür auch? Die Antiviren App läuft doch im Hintergrund! Ihr habt echt alle keine Ahnung. #zwinker#

 

[kim88]

Und der Hersteller sagt er verdient sein Geld mit dem Zusammenschrauben von Hardware.
Ich als Kunde sehe dann nur das niemand zuständig ist oder es auf andere weiter schiebt.

Nein du als Kunde bist ein freier Konsument. Neben Preis, Kamera, und sonstigen Gimmicks muss eben Update-Sicherheit ein Punkt in deiner Smartphone-Wahl sein und du kannst in Zukunft Smartphones von Hersteller kaufen - die garantierte Sicherheitsupdates liefern - ist ja nicht so das es da snicht gibt.

Min bei iPhone, Samsung (nur gewisse Modelle) und Google mit seinen Pixels hast du da für einen definierten Zeitraum ein Update Versprechen.

Grundsätzlich findest du solche Versprechen allerdings eher bei höherpreisigen Smartphones (das iPhone SE und Pixel der A Reihe mal ausgenommen - wenn man +/- 500 Euro nicht als höherpreisig sieht).

Aber am Ende ist klar, der langfristige Support dieser Geräte ist für die Unternehmen ein grosser Aufwand. Ist ja nicht nur die Portierung der Updates, die Integration der Treiber Updates, etc - sondern schon beim Bau kann man nur Komponenten verwenden wo der Hersteller z.b. vom Prozessor Updates garantiert) - und am Ende halt noch das komplette Testing - jedes Gerätemodell mehr ist da Aufwand - und das bezahlt man beim Gerätepreis definitiv mit.

 

[DerOlf]

Ich habe für mein Smartpohone vor über drei Jahren nichtmal €80,- bezahlt. Und bei dem Preis habe ich auch keinen großartigen support erwartet.
Trotzdem gabs bis vor etwa einem Jahr noch hin und wieder ein update (Hersteller ist ZTE ... also im Prinzip Motorola ... vielleicht liegts daran).

Mir ist es allerdings wirklich egal, da ich das Smartphone eben nicht zum Lebensmittelpunkt habe werden lassen.
Auf dem Ding gibts kaum sensible Daten (nur eine Kontaktliste, die seit 3 Jahren nicht ausgemistet wurde), denn ich nutze es im Grunde wie mein altes Tastenhandy.
Mein google/gmail Konto gibts ohnehin nur wegen Android ... und da läuft auch nichts anderes drüber, als das Zeug fürs Handy. Zahlungsinformationen hat das Handy von mir bis heute nicht bekommen.
Synchronisiert wird auch nichts, und wenn ich Passwörter auf der gleichen Maschine speichern würde, dann könnte ich auch gleich meine PIN mit Edding auf meine EC-Karte schreiben oder glauben, ich hätte eine gute Diebstahlsicherung, wenn der Autoschlüssel an der Antenne hängt.

Mir ist die Sicherheit meiner sensiblen Daten wichtig ... und daher haben die auf meinem Smartphone einfach nichts zu suchen und ich muss mich auch nicht über zu kurzen oder nicht vorhandenen Support mit Sicherheitsupdates ärgern. Statt eine Displaysperre mit Passwortabfrage (oder fingerprint, facetime was auch immer) auf meinem Handy zu nutzen, passe ich lieber auf, dass ich es nicht verliere.
Bisher hat das ganz gut funktioniert.

Mein Handy ist "nicht sicher" ... aber das muss es für mich eben auch nicht wirklich sein.

Ich kann aber sehr gut verstehen, dass jemand mehr Sicherheit haben will, der das Ding im Prinzip zum Generalschlüssel zu seinem Leben gemacht hat.