Android 5.1.1 ?

Themen rund um das SHIFT5
Antworten
binfalse
Beiträge: 4
Registriert: Mo 9. Jan 2017, 16:50

Re: Android 5.1.1 ?

Beitrag von binfalse » Mi 22. Nov 2017, 11:29

Gibt es immer noch kein Update fuer uns? Oder habe ich das irgendwo uebersehen? Hier gibt es scheinbar immer noch nur das Update mit Patchlevel vom Maerz: http://de.shiftphones.com/wiki/SHIFT5.1 ... m_SHIFT5.2

Wir rennen schon wieder alle monatelang mit absolut unsicheren Geraeten rum..! Das bereitet mir ein staendig ungutes Gefuehl :(

hardcoded
Beiträge: 1
Registriert: Fr 1. Dez 2017, 10:15

Re: Android 5.1.1 ?

Beitrag von hardcoded » Fr 1. Dez 2017, 10:54

Hallo,

ich bin aktuell auf der Suche nach einem neuen Handy (Spider-App lässt grüßen) Das FP2 ist mir zu groß und recht teuer, das Shiftphone 5 sah gut aus, aber Android 5.1 ist schon etwas in die Jahre gekommen und wenn ich diesen Thread lese, fühle ich mich an so manche Billig-Bude aus China erinnert - und selbst die sind teilweise aktueller. 11 Monate für ein Sicherheitsupdate geht gar nicht.

2-Monatlich ist Pflicht - Monatlich die Kür. Alles andere ist verantwortungslos gegenüber dem Kunden!
Zum Vergleich: FP schafft hier teilweise sogar < 2 Wochen.
Man muss sich vor Augen halten, dass mit der Veröffentlichung der Updates auch meist eine Veröffentlichung der Angriffswege einhergeht. Im Falle von CVE/CWE Einträgen wird dafür sogar ein Funktionierender Exploit gefordert, sprich: Eine funktionierende Demo, die die Lücke ausnutzt. Aus einem veröffentlichten Exploit eine reale Maleware zu bauen - dafür braucht ein geübter Hacker nur ein paar Stunden.

Ich bin selber Entwickler, weiß was mit Exploits möglich ist und sehe es wie LoB und mameso: Für mich ein Grund das Handy nicht zu kaufen, bzw. zur Rückgabe wenn ich es schon gekauft hätte.
Ob es dazu wirklich neue gesetzliche Regeln braucht, hat bisher nur noch niemand ausprobiert... bzw. es wird gerade getestet: https://heise.de/-3778616

Frage: gibt es aktuellere Alternativen zum Stock-ROM?

Benutzeravatar
detlefr
SHIFTPHONES Team
Beiträge: 2879
Registriert: Fr 6. Feb 2015, 18:59

Re: Android 5.1.1 ?

Beitrag von detlefr » Fr 1. Dez 2017, 11:53

Bislang gibt es keine Alternativen. Es wird aber wohl ein Shift ROM geben werden, das selber entwickelt wird. Das dauert aber noch ein bißchen.
-------------------------------------------------
detlef@shiftphones.com
Skype: detlefr123


Zum SHIFTPHONES Newsletter könnt ihr euch hier:
https://www.shiftphones.com/newsletter-signup/
anmelden.

Benutzeravatar
ChangeTheWorld
Beiträge: 55
Registriert: Mi 22. Nov 2017, 10:42

Re: Android 5.1.1 ?

Beitrag von ChangeTheWorld » Do 7. Dez 2017, 20:11

hardcoded hat geschrieben:
Fr 1. Dez 2017, 10:54
Hallo,

ich bin aktuell auf der Suche nach einem neuen Handy (Spider-App lässt grüßen) Das FP2 ist mir zu groß und recht teuer, das Shiftphone 5 sah gut aus, aber Android 5.1 ist schon etwas in die Jahre gekommen...

2-Monatlich ist Pflicht - Monatlich die Kür. Alles andere ist verantwortungslos gegenüber dem Kunden!

Na ja zugegebenermassen: Android 6 wäre schon mal schön. Aber ich würde nie wegen ein paar Sicherheitslücken, die mich am Ende nicht mal betreffen, gleich immer ein OS Update einspielen, das mir dann mein XPrivacy und die Firewall unbrauchbar macht - oder am Ende mühsam vorgenommene Einstellungen verhagelt.

LoB
Beiträge: 48
Registriert: Fr 25. Nov 2016, 13:01

Re: Android 5.1.1 ?

Beitrag von LoB » Do 4. Jan 2018, 16:54

Jetzt kommen noch die CPU-Lücken Meltdown und Spectre dazu (https://meltdownattack.com/). In den Medien wurden sie anfangs als Intel-Lücken bezeichnet, sie betreffen aber alle CPUs.
Google hat bereits Android-Updates dagegen rausgebracht: https://source.android.com/security/bulletin/2018-01-01

Wann werden die für Shift-User ausgespielt?

LoB
Beiträge: 48
Registriert: Fr 25. Nov 2016, 13:01

Re: Android 5.1.1 ?

Beitrag von LoB » Do 4. Jan 2018, 16:57

ChangeTheWorld hat geschrieben:
Do 7. Dez 2017, 20:11
Na ja zugegebenermassen: Android 6 wäre schon mal schön. Aber ich würde nie wegen ein paar Sicherheitslücken, die mich am Ende nicht mal betreffen, gleich immer ein OS Update einspielen, das mir dann mein XPrivacy und die Firewall unbrauchbar macht - oder am Ende mühsam vorgenommene Einstellungen verhagelt.
1. Ob Du es einspielen willst oder nicht, oder wann, ist egal. Entscheidend ist, dass der Hersteller die Patches ausspielt, denn sonst kannst Du diese Entscheidung gar nicht treffen.
2. Bitte die Lücken nicht herunterspielen. Sowohl die Bluetooth-Lücken, als auch die WLAN-Lücken, als auch die jetzt neue CPU-Lücke betrifft alle Geräte. Vielleicht ist Dir das egal. Das ist OK. Dennoch ist ein Hersteller in der Pflicht, wenn er sich nachhaltig schimpft.

Benutzeravatar
detlefr
SHIFTPHONES Team
Beiträge: 2879
Registriert: Fr 6. Feb 2015, 18:59

Re: Android 5.1.1 ?

Beitrag von detlefr » Do 4. Jan 2018, 22:25

IMG_20180104_095138_218.jpg
IMG_20180104_095138_218.jpg (55.12 KiB) 359 mal betrachtet
Google Research Paper, obwohl Intel in Press Releases probiert auf AMD den Finger zu richten mit "die auch!", stimmt das nicht.
Lasst euch nicht immer verrückt machen. Alles immer von mehreren Seiten betrachten.
-------------------------------------------------
detlef@shiftphones.com
Skype: detlefr123


Zum SHIFTPHONES Newsletter könnt ihr euch hier:
https://www.shiftphones.com/newsletter-signup/
anmelden.

LoB
Beiträge: 48
Registriert: Fr 25. Nov 2016, 13:01

Re: Android 5.1.1 ?

Beitrag von LoB » Do 4. Jan 2018, 23:52

detlefr hat geschrieben:
Do 4. Jan 2018, 22:25
IMG_20180104_095138_218.jpg
Google Research Paper, obwohl Intel in Press Releases probiert auf AMD den Finger zu richten mit "die auch!", stimmt das nicht.
Lasst euch nicht immer verrückt machen. Alles immer von mehreren Seiten betrachten.
Entschuldige bitte, detlefr, aber Deine Überheblichkeit geht gar nicht. Ich arbeit seit 20 Jahren professionell in der Softwareindustrie, ich entscheide selbst wann ich mich "verrückt machen" lasse und wann nicht. Überlass diese Entscheidung Deinen Kunden und mache Du Deinen Job (oder besser Ihr als Firma Euren), und patcht verdammt noch mal. Ihr seid über acht Monate hinten dran.

Abgesehen vom Stil ist auch sachlich einiges falsch an Deinem Posting.
1. Du postest den korrekten Screenshot von der AMD Stellungnahme, aber Du nennst den falschen Autor (der Autor der Stellungnahme AMD, nicht Google. Hier die Originalquelle für alle interessierten: https://www.amd.com/en/corporate/speculative-execution). Google hat die Sicherheitslücke selbst öffentlich gemacht.
2. Du ziehst den falschen Schluss, auch weil Du den Autor verwechselt hast. "Die auch" stimmt sehr wohl. Das sagt Google im Originalpaper: https://spectreattack.com/spectre.pdf und https://meltdownattack.com/meltdown.pdf. Ja, auch Google sagt, genau wie AMD, dass AMD nicht so schwer betroffen ist wie Intel. Das heisst aber nicht dass die Lücke nicht existiert, sondern nur dass sie schwerer/seltener auszunutzen ist. Das hätte Dir im übrigen auch der in Deinem eigenen Screenshot eingerahmte Text verraten können: "NEAR zero risk." Nahezu null. Nahezu null ist ungleich null.
3. Was hat das ganze mit diesem Forum, diesem Telefon und der sehr validen Anfrage nach Sicherheitsupdates zu tun? Shiftphones verwenden keine AMD-Prozessoren. Hier hast Du wohl AMD und ARM verwechselt.

Von den ganzen sachlichen Fehlern und Deinem Versuch, die Lücken schönzureden, abgesehen, kannst Du bitte einfach meine Frage beantworten? Wann wird gepatcht? Mich persönlich interessieren insbesondere die Bluetoothlücke, die WLAN-Lücken und dieser neue CPU-Bug, aber ich glaube es wäre sinnvoll wenn Ihr mal eine Roadmap veröffentlichen würdet wann Ihr welche Android-Sicherheitspatch-Ebene ausrollen wollt.

Benutzeravatar
detlefr
SHIFTPHONES Team
Beiträge: 2879
Registriert: Fr 6. Feb 2015, 18:59

Re: Android 5.1.1 ?

Beitrag von detlefr » Fr 5. Jan 2018, 11:47

Da ist mir wohl ein Fehler unterlaufen.
Das Überheblich mag vielleicht so rübergekommen sein, war aber nicht so gemeint. Wie sieht es denn aber aus? Z.B. dieser Fehler besteht schon seit Jahren, ist jetzt aber erst aufgedeckt worden. Die meisten Fehler existieren doch schon länger, nämlich von Anbeginn der Programmierung. Bei der Programmierung entstehen doch schon Fehler, es gibt doch dazu sogar Statistiken, bei wie vielen Programmzeilen wieviele Fehler vorkommen. Also ist es schon vorbestimmt, dass irgendwann die Fehler, bei gründlicher Suche, entdeckt werden. Dies ist ja auch richtig und gewünscht, damit diese Fehler behoben werden können. Ich nehme mal an, dass viel mehr Fehler entdeckt und auch behoben werden, ohne das diese in der Presse bekannt gemacht werden. Wird aber etwas in der Presse publik gemacht, dann sind alle Entrüstet und Verwundert. Dabei müsste jedem klar sein, dass die EDV alles andere als sicher ist.
Es gibt in keinem Bereich des Lebens beständige Sicherheit. Wer meint er könnte Sicherheit schaffen oder haben, finde ich, ist unrealistisch. Das Leben ist ein beständiges Risiko und alles kann sich innerhalb von einer Sekunde ändern. In diesem Sinne habe ich das sich verrückt machen gemeint.

Wann es ein update gibt, kann ich nicht sagen. Es wird ein eigenständiges Shift OS geben und dann werden updates und patches auch schneller erfolgen.
-------------------------------------------------
detlef@shiftphones.com
Skype: detlefr123


Zum SHIFTPHONES Newsletter könnt ihr euch hier:
https://www.shiftphones.com/newsletter-signup/
anmelden.

LoB
Beiträge: 48
Registriert: Fr 25. Nov 2016, 13:01

Re: Android 5.1.1 ?

Beitrag von LoB » Fr 5. Jan 2018, 15:54

Danke für die Antwort.

Ich sehe das nach wie vor anders. Noch mal, ich arbeite in der Softwarebranche. Ich weiß dass Software Bugs enthält, das ist normal und unvermeidlich. Ich bin nicht entrüstet und verwundert über Bugs, sondern darüber wie Shiftphones damit umgeht. Dass die Lücken 10 Jahre rumlagen, dafür kann Shiftphones nichts. Ab dem Zeitpunkt wo sie bekannt werden ist Shiftphones aber in der Pflicht, und ab DEM Zeitpunkt wird es eben auch erst richtig gefährlich. Denn ab dann können Kleinkriminelle und Scriptkiddies sie ausnutzen, während es vorher vielleicht "nur" Geheimdienste o.ä. waren, die an der eigenen Person u.U. kein Interesse haben.

Mal als Metapher: Ich mache mir nicht Tag und Nacht Sorgen darüber ob jemand bei mir zu Hause einbricht. Ich bin auch nicht "entrüstet und verwundert", dass das möglich ist. Aber in dem Moment, wo mir jemand sagt dass mein Schlüssel außen auf der Tür steckt, handle ich. Ihr dagegen lasst den Schlüssel stecken und redet stattdessen das Problem runter. 8 Monate später steckt der Schlüssel immer noch.

Ich möchte einfach nur behandelt werden wie ein mündiger Erwachsener Mensch: Ich kann selbst entscheiden, wie gravierend die Sicherheitslücke für mich persönlich ist. Vielleicht habe ich ein anderes Sicherheitsempfinden als Du. Vielleicht verstehe ich auch mehr davon als Du. Vielleicht nutze ich meine technologischen Geräte für kritischere Anwendungsfälle als Du. Aber mit der bevormundenden Haltung (sowohl verbal als auch durch das Vorenthalten von Updates) nimmst Du mir die Möglichkeit diese Entscheidung für mich zu treffen. Du entscheidest, wie ich mein Gerät nutzen soll.
Das wird in letzter Konsequenz bedeuten dass ich mich nicht mehr für ein weiteres Shiftphone entscheiden werde - sollte sich diese grundsätzliche Haltung nicht ändern.

Antworten