Sicherheit bei älteren Smartphones
- Ersteller stefan59
- Erstellt am
Das ist auch gut so, ohne es böse zu meinen. Es läßt Dich vorsichtiger und vernünftiger vorgehen.stefan59 schrieb:
Aus sicherheitstechnischen Aspekten, leider ja. Deshalb sollte man heute kein Smartphone mehr erwerben, was nicht mindestens 5 Jahre oder mehr Updates bietet. Samsung bietet 5, Google für das neue Pixel 8 sogar 7 Jahre.stefan59 schrieb:
Ergänzung ()
Wenn Sicherheitsaspekte im Vordergrund stehen, ja. Ansonsten jailbreaken, mit alternativem OS bespielen, es rein intern ohne Verbindung als Display oder MP3-Player verwenden.siggi%%44 schrieb:
Viel schlimmer ist es, wenn Du unschuldig aufgrund eines gehackten Gerätes unter einem Verdacht stehst, wo gegen Dich ermittelt wird. Oder Du aufgrund der Kompromittierung keiner 2FA/MFA mehr vertrauen kannst, ohne daß Du es bemerkst.siggi%%44 schrieb:
Zuletzt bearbeitet:
Also, @stefan59, bitte dein Handy entweder sofort entsorgen oder nur noch zu Hause als MP3-Player benutzen!! Alles andere wäre wohl grob fahrlässig, da viel zu unsicher!
...denn meine Geräte können auch ohne Jailbreak MP3s abspielen, als Display fungieren und den Flugmodus aktivieren.
@stefan59 Hier noch was zum Thema "Online Banking" auf Handys:
https://www.kuketz-forum.de/t/onlinebanking-ohne-zweitgeraet/7522/15
Wenn dort schon von sicher gesprochen wird, kann man das auch ernst nehmen. ;-)
Ergänzung ()
Dass man es vorher "jailbreaken" muss. Das war mir jetzt neu...nutrix schrieb:
Ergänzung ()
...denn meine Geräte können auch ohne Jailbreak MP3s abspielen, als Display fungieren und den Flugmodus aktivieren.
Ergänzung ()
@stefan59 Hier noch was zum Thema "Online Banking" auf Handys:
https://www.kuketz-forum.de/t/onlinebanking-ohne-zweitgeraet/7522/15
Wenn dort schon von sicher gesprochen wird, kann man das auch ernst nehmen. ;-)
Zuletzt bearbeitet:
Ist dir das passiert? Kennst du jemanden, dem das passiert ist? Vermutlich argumentierst du jetzt damit, dass es passieren könnte. Wie hier bereits erwähnt wurde, der Quellcode der Patches wird öffentlich geteilt und zwar ungepatcht/gepatcht. Ziemlich wenige Vorfälle dafür, dass es öffentlich jeder nachlesen und probieren kann, oder? In den meisten Fällen brauchst du Zugriff in irgendeiner Form auf das Gerät oder es muss in der Nähe sein. Daher denken sich die meisten Entwickler, ich baue eine App, die das für mich macht und stelle sie als Download zur Verfügung. Das nennt sich dann Malware. Denn damit erreiche ich nicht nur 1 User, dem ich noch umständlich hinterherlaufen muss auf der Straße, damit z.b. mein überaus komplizierter Exploit via Bluetooth funktioniert. Nein, ich erreiche direkt tausende User.nutrix schrieb:
Willst du jetzt ernsthaft dem TE noch eintrichtern, er könnte im Gefängnis landen oder alles verlieren, weil sein Gerät seit 1 Jahr kein Patch bekommen hat?? Vielleicht schlägst du ihm auch vor, nie wieder aus dem Haus zu gehen, damit er nicht stirbt.
Ja. Und Dir ist wohl nicht klar, in welchem Bereich ich sitze, ich habe jeden Tag mit IT-Sicherheit auf vielen Ebenen zu tun.siggi%%44 schrieb:
Nein, es ist passiert. Und 4-stellige Anwaltsbeiträge zu latzen wegen mangelnder Sicherheit, wo man sich erst mal vor den ermittelten Behörden rechtfertigen und offenlegen muß ist kein Spaß.siggi%%44 schrieb:
Wie immer, müssen Ahnungslose wieder mal übertreiben, wenn sie Laien sind und das Thema weder verstehen noch erfassen können.siggi%%44 schrieb:
Stichhaltige und aussagekräftige Argumente hört man von dir ja auch nicht. Behauptungen wie "...ich habe jeden Tag mit IT-Sicherheit auf vielen Ebenen zu tun." oder "Nein, es ist passiert." sind alles andere als konkret und liefern mir keinen Beweis, dass eine Lücke ausgenutzt wurde und dies eine Bedrohung für jedermann ist.nutrix schrieb:
Du mußt es jailbreaken, wenn Du ein alternatives OS draufpacken willst.siggi%%44 schrieb:
Ergänzung ()
Es gibt Arbeitsstellen, die einer strengen Geheimhaltung unterliegen. Daher kann ich Dir nichts weiter dazu sagen. Das spielt sich eine Liga höher ab, als Du erahnen kannst. Glaubst mir eben oder nicht, oder willst es dann (wider besseren Wissens) doch selbst alles besser wissen (oder eher vermuten). Alles was ich sagen kann, verwendet keine unsicheren Geräte oder solche, die keine Updates mehr erhalten. Nicht umsonst gibt es diverse Richtlinien bzgl. Sicherheit, z.B. vom BSI.siggi%%44 schrieb:
Zuletzt bearbeitet:
Wo steht denn was von einem alternativen OS? Das lese ich jetzt zum ersten mal. Du hast vorgeschlagen:nutrix schrieb:
Für einen MP3-Player brauche ich keine Custom ROM. Und mit aktueller Custom ROM habe ich einen halbwegs aktuellen Patch, was den Betrieb des Gerätes - deiner Aussage nach - ohne Verbindung und intern überflüssig macht. Es ist ja dann wieder einigermaßen geschützt.nutrix schrieb:
Achso... Streng geheim! Würdest du es mir preisgeben, müsstest du mich töten? :-)nutrix schrieb:
Wie kommt man zu einer solchen (unsinnigen) Aussage, was sind hier bitte Deine Beweise und Belege dafür?siggi%%44 schrieb:
https://www.bsi.bund.de/DE/Themen/V...bilgeraete/schutz-fuer-mobilgeraete_node.html
Genau das macht Smartphones eben kaum sicherer als PCs. Mach doch mal eine Umfrage, wo die Leute auf sowas achten.
Ergänzung ()
Meine Güte, mußt Du Dich unbedingt so unnötig aufspielen? Geräte ohne Sicherheitsupdates sind ein Sicherheitsrisiko, ganz einfach. Wer so ein Ding betreibt, spielt immer mit dem Feuer bzw. Risiko.Das habe ich oben ergänzt, da vergessen.siggi%%44 schrieb:
Für eine alternative Nutzung empfiehlt sich das aber, macht das Gerät im Endeffekt dadurch sicherer, wenn man keine Mobilfunkkaktivitäten mehr zuläßt, und ein anderes OS vorhanden ist als vorgesehen.siggi%%44 schrieb:
Nein.siggi%%44 schrieb:
Nein, ich erzähle darüber einfach nichts weiter. Warum mußt Du Dich darüber lustig machen?siggi%%44 schrieb:
Ansonsten:
https://www.it-business.de/smartpho...icherheit-a-5b5b66226300bdecb88c0d8b9bd9aa5b/
https://www.pressebox.de/pressemitt...etzt-sind-die-Hersteller-gefragt/boxid/994985
https://curved.de/news/bsi-fordert-aktuelles-android-fuer-neugeraete-671050
Diese Forderungen kommen nicht umsonst.
Zuletzt bearbeitet:
Ich kann ja mal eine Abstimmung machen, wie viele User hier AV Software auf ihrem PC installiert haben wollen und wie viele es bei Android möchten.nutrix schrieb:
Diese sog. "ohne erkennbaren Grund umfassende Zugriffsrechte" haben Windows Apps ebenso. Sie stellen aber keine potenzielle Gefahr dar in Bezug auf Übernahme des Gerätes durch Dritte oder erlangen von Rootrechten auf meinem Gerät oder befähigen diese Apps, die Appdaten anderer sicherheitsrelevanter Apps auszulesen. Das ist was völlig anderes.nutrix schrieb:
Aber noch lange nicht so dramatisch, wie du es versuchst glaubhaft zu machen.nutrix schrieb:
nutrix schrieb:
Was denn jetzt? Macht eine Custom ROM das Gerät sicherer oder nicht?? Du sagst, sie macht das Gerät sicherer, widersprichst mir dahingehend aber, wenn ich es so darstelle.nutrix schrieb:
Dann sprich das Thema doch nicht an, wenn du eh nichts dazu schreiben möchtest.nutrix schrieb:
Was soll ich mit den Links anfangen. Grundaussage: Alte Handys sind unsicher. Das war es. 30% nutzen A11, 30% nutzen A12, 20% A10 und 20% ältere Versionen.nutrix schrieb:
Was aber nicht dargestellt wird: Mit jeder neuen Codezeile und mit jeder neuen Funktion des OS, kann ich woanders Lücken aufreißen, die gestopft werden müssen. Ist zwar nicht immer so, aber die Wahrscheinlichkeit ist hoch. Wenn nun eine Lücke in A12 gestopft wird, heißt das noch lange nicht, dass alle Versionen darunter dieselbe Lücke haben. Kann sein, muss aber nicht. Keiner von uns kann das auf Anhieb differenzieren, aber darüber nachdenken sollte man trotzdem.
Ich kenne das AOSP. Bestimmt nicht auswendig und bestimmt auch nicht alles, aber ich kann dir mit Sicherheit sagen, dass es genügend Codesegmente in A12 oder 13 gibt, die bei A10 oder darunter noch gar nicht exstiert haben oder völlig anders strukturiert waren. Das sollte man auch in Betracht ziehen.
Schlusswort: Je älter der zuletzt gemachte Patch ist, desto unsicherer wird das Gerät. Das steht außer Frage. In diesem Zusammenhang bedeutet es aber nicht, dass ich nur mit einem aktuellen Patch sicher bin.
Diese Lücken, die von Google gestopft werden, basieren auf theoretischen Konstrukten, die unter bestimmten Umständen und v.a. - was nämlich gerne bei dieser ganzen Debatte außer Acht gelassen wird! - nur dann ausführbar sind, wenn ALLE sicherheitsrelevanten Mechanismen außer Kraft gesetzt werden!
Dieser Text steht direkt zu Beginn in jedem monatlichen Security Bulletin auf der offiziellen Seite von Google.
Es ist absolute Best practise nur Geräte mit Updates ins Internet zu lassen. Das gilt genauso bei einem Smartphone, vielleicht sogar noch mehr da viele Leute heute auf dem Smartphone viel sensiblere Daten haben als auf ihren PCs / Laptops. Darüber braucht man gar nicht zu diskutieren. Dh man kann so ein Gerät natürlich noch offline nutzen. Online gehen würde ich damit nicht mehr.
Weil man sich online auf einer Homepage oder online mit einer App genau was einfangen soll, wenn man keinen aktuellen Patch hat? Was machen denn z.B. Samsung User, die nur alle 3 oder 6 Monate einen Patch bekommen? Sollen die nur im aktuellen Monat damit online gehen? Sorry, ich kapier diesen Wirbel nicht.
werden einfach Apps, ohne deine Zustimmung installiert? Glaube ich nicht. Jedenfalls nicht bei Android.M-X schrieb:
Die Marketingabteilung hat dich im Griff. Somit dann lieber ein teures Flagschiff kaufen.M-X schrieb:
Das stimmt, aber widerspricht deiner Aussage:M-X schrieb:
Immerhin fehlen dir im Laufe des hlaben Jahres mehrere Patches.M-X schrieb:
Du scheinst nicht mal den Angriffsvektor zu verstehen, ich weiß nicht ob es Sinn macht dann weiter zu diskutieren ?siggi%%44 schrieb:
Steht da das man keine Updates auslassen darf ? Natürlich ist es besser wenn man immer die aktuellsten hat als wenn man 6 Monate warten muss, daher auch meine Empfehlung ein solches Gerät nicht zu kaufen.siggi%%44 schrieb:
Und klar, wenn eine kritische Verwundbarkeit auftaucht die Samsung 6 Monate nicht patchen will, kann eine Konsequenz auch sein das Ding dann nicht zu nutzen.
Ähnliche Themen
