Android Security Bulletins

[psh0r]

Sowohl die G als auch die L (Beta) Version für das SHIFT5me sind noch auf dem Security Patch Level vom 5. November 2018. In der Zwischenzeit wurden einige kritische Sicherheitslücken in Android behoben:

https://source.android.com/security/bulletin#bulletins

Wann werden diese Fixes in ShiftOS verfügbar sein?

 

[Roever]

wenn ich mich richtig erinnere sind die patch installiert, nur die signatur nicht. schau mal in die "release notes", da müsste @amartinz was dazu geschrieben haben.

 

[amartinz]

Sind alle integriert, die 0304 hat die bis Februar drinnen, da sicherheitspatches üblicherweise jeden 5. des Monats veröffentlicht werden.

Wir haben nur aus Zertifizierungsgründen das sichtbare Level bei November gelassen.

 

[psh0r]

1.) Also ich kann für das SHIFT5me nur eine G-Version vom 15. Januar 2019 und eine L-Beta-Version vom 08. Februar finden:

https://forum.shiftphones.com/resources/shift5me-sos-1-1-g-20190115-flashtool.28/

https://forum.shiftphones.com/resources/shift5me-sos-1-1-l-20190208-full-ota.27/

Zu diesen Versionen finde ich aber keine Release Notes.

2.) Was ist das denn für eine Zertifizierung, die eine korrekte Angabe des Security Patchlevels verhindert? Und warum?

 

[amartinz]

1.) Also ich kann für das SHIFT5me nur eine G-Version vom 15. Januar 2019 und eine L-Beta-Version vom 08. Februar finden:

https://forum.shiftphones.com/resources/shift5me-sos-1-1-g-20190115-flashtool.28/

https://forum.shiftphones.com/resources/shift5me-sos-1-1-l-20190208-full-ota.27/

Zu diesen Versionen finde ich aber keine Release Notes.

2.) Was ist das denn für eine Zertifizierung, die eine korrekte Angabe des Security Patchlevels verhindert? Und warum?

Weil das die allerersten Versionen sind, da gibt es keine vorherige Version um Änderungen zwischen alter und neuer aufzuführen.

 

[psh0r]

Weil das die allerersten Versionen sind, da gibt es keine vorherige Version um Änderungen zwischen alter und neuer aufzuführen.

Nuja, dann wäre halt der Initiale Security Patchlevel interesant, wenn der schon nicht mit der angezeigten Version übereinstimmt.
Das ist aber zweitrangig. Der spannende Punkt ist:

1. Warum wird nicht das richige Patchlevel angezeigt?
2. Und wann ungefähr wird es irgendeine (G, L, Beta, whatever) Version geben, die auf dem SHIFT5me läuft und alle aktuellen Security Patches enthält?

 

[Tvhvm5QV]

Ich möchte mich den Fragen von @psh0r anschließen und nochmal nachhaken. Ich habe die aktuelle ShiftOS L Version vom 20.03. auf dem 6m und vermisse auch aktuelle Sicherheitspatches. Ob die jetzt richtig benannt sind oder nicht ist für mich erstmal zweitrangig. Da das letzte Build vom 20.03. ist, werden wohl alle aktuelleren Sicherheitspatches definitiv nicht enthalten sein.
@amartinz: Gibt es eine Möglichkeit die Patches auf die ShiftOS L Version lokal einzuspielen? Die Suche nach Updates im entsprechenden Menü bringt keine Ergebnisse.

 

[psh0r]

Ein OS auf Basis von Android 8.0 zu haben (aktuell ist 10.0) und über 3 Monate keine Security Updates zu veröffentlichen finde ich einen ziemlich unverantwortlichen Umgang mit dem Thema IT Sicherheit.

 

[Ina71]

Hi, bin als Umsteiger von iOS noch planlos,staunte aber auch schon, dass die Sicherheitspatches ab März19 unberücksichtigt bleiben. Das 6m als Zweitgerät ist mein Versuch, ob ich mich digital bewegen kann mit maximaler Autonomie und minimalem BigData füttern. Entsprechend sind alle G Dienste deaktiviert und ich scheine von Shift bezügl.Sicherheitspatches abhängig zu sein. Den Sprung auf ein komplett selbstverwaltetes, freies Andrid traue ich mir nicht mehr zu. Dass Shift als Hardwarehändler gleichwohl Support bietet finde ich grossartig aber ausbaufähig. Ich wäre zB bereit extra zu zahlen für ein Serviepacket, damit ihr - falls das Model von mehreren Nutzern angenommen wird -noch jemanden dafür anstellen könnt und die neuestes Patches zeitnah auf meinem Gerät landen. So weit geht mein Vertrauen in euch und ich freue mich aufs nächste Modell. Aber so ists jetzt etwas bedenklich...

 

[maroni]

Ich will nicht unhöflich klingen, aber so ein kleiner Hinweis, wie es euch so geht u was euch offenbar Schwierigkeiten macht, würde von eurer Community sicherlich sehr positiv gesehen werden

 

[blackcat]

das neueste Update war für Ende Juni angekündigt:

..... microG Support kommt nächste Woche mit einer neuen ShiftOS-L Version (bin bis Dienstag auf Urlaub, also eher Ende der Woche).

Seitdem ist wieder ein Monat vergangen. Betrifft ja nicht nur das 5me sondern auch das 6m, ganz zu schweigen von Updates für die Legacy-Geräte.....
Eine Möglichkeit, die Sicherheitspatches aktuell installieren zu können sollte eigentlich selbstverständlich sein.
edit: und zwar unabhängig von Updates!

 

[Tvhvm5QV]

Ich habe auch beim Support nochmal nachgefragt bzgl. Security-Patches im Allgemeinen und habe folgende allgemeine Antwort bekommen:

ShiftOS L ist derzeit eine Beta-Version, da kommt das neue Update, sobald es etwas Neues gibt ;-)
Die Sicherheitsupdates bekommst du nur über ein neues Betriebssystem-Update für dein SHIFT.
Derzeit arbeitet unsere Entwicklung an einem Update auf Android 8.1. Das ist sehr zeitaufwändig, daher dauert es aktuell leider etwas länger.

Kann ich leider nicht so richtig nachvollziehen und ist sehr allgemein. Nutzt jemand das ShiftOS-G und kann mir sagen ob dort aktuellere Patches als März 2019 verfügbar sind?

----
edit: Zitat vom Support kursiv gemacht

 

[blackcat]

...
Die Sicherheitsupdates bekommst du nur über ein neues Betriebssystem-Update für dein SHIFT.
....Kann ich leider nicht so richtig nachvollziehen und ist sehr allgemein. Nutzt jemand das ShiftOS-G und kann mir sagen ob dort aktuellere Patches als März 2019 verfügbar sind?

Kann ich auch nicht nachvollziehen, bei anderen Firmen bekommt man die Sicherheitspatches zeitnah und unabhänging von Updates.

G-Version: Patches bis einschließlich Mai:

Gerade wurde das OTA Update von ShiftOS-G mit der Versionsnummer SHIFT5ME.SOS.1.1.G.20190510 veröffentlicht.
...
Änderungen:

• ...
• Sicherheitspatches von 2018-12, 2019-01, 2019-02, 2019-03, 2019-04 und 2019-05 wurden bereits eingespielt, das sichtbare Patch Level aber nicht verändert und es wird 2018-11-05 angezeigt
• ...

 

[Roever]

Kann ich auch nicht nachvollziehen, bei anderen Firmen bekommt man die Sicherheitspatches zeitnah und unabhänging von Updates.

G-Version: Patches bis einschließlich Mai:

was kann man daran denn nicht so richtig nachvollziehen? is halt ne beta, is doch klar dass die offiziellen firmwares vorgehen.
wir haben uns für ne beta freiwillig angemeldet und können eben nicht erwartet dass der support der selbe ist wie der für ne firmware mit ner abgeschlossenen entwicklung, insbesondere da der chiphersteller den support aufgekündigt hat. das zeugt natürlich von ner schlechten chipwahl, aber dass is ein anderes thema...
2 monate alte sicherheitsupdates bei der offiziellen finde ich normal, bin aber auch nicht aus der IT branche, weiß jetzt nicht ob da jeden monat neue sicherheitsupdates drauf müssen.
lg

 

[amuylett]

also ich hatte vorher ein honor, da gab es 2 sicherheitsupdates (ca. in einem jahr) :-D
davor hatte ich ein sony, das hatte nie ein sicherheitsupdate. war daher beim honor schon positiv überrascht :-D

außerdem dauert es diesmal wohl etwas länger mit dem update, weil das große update auf android 8.1 kommen soll

 

[blackcat]

Im Vergleich zu anderen Herstellern sind wir vielleicht verwöhnt... Samsung liefert mindestens monatlich Updates, gefühlt öfter. Wichtige Sicherheitspatches kommen meist zeitnah. Klar, eine Beta wird nicht so oft versorgt werden wie die offizielle Firmware. Aber die L-Beta ist jetzt über vier Monate alt, die neueste G-Version zweieinhalb Monate. Seitdem sind vier bzw. zwei neue Sicherheitsbulletins von Android veröffentlicht worden. Wie gesagt, es geht mir nicht um allgemeine Updates sondern lediglich um Sicherheitspatches.
Wie wichtig die Sicherheitsupdates sind, hängt natürlich vom eigenen Verhalten ab...

 

[Roever]

Seitdem sind vier bzw. zwei neue Sicherheitsbulletins von Android veröffentlicht worden.

bist du dir da 100% sicher? das wäre natürlich auch für die G-Version etwas nachlässig, aber bei der L- bleibt das Argument beta.
ist natürlich etwas schwierig wenn dann bei fehlenden sichheitsupdates auch der wechsel auf die offizielle version keine abhilfe schafft

 

[Nexolus]

Ich hab mich jetzt ziemlich durch die ganzen MT Prozessor Geschichten und Sicherheitsupdate Diskussionen durch gearbeitet. Ich finde Sicherheitsupdates sehr sehr Wichtig und das diese auch regelmäßig möglichst Monatlich kommen. Ich hoffe das wird dann mit meinem Shift6mq mit Qualcomm Prozessor deutlich besser. Weil was nützt mir ein Nachhaltiges Gerät wenn ich mich nach kurzer Zeit wieder nach einem neuen Umschaue, weil mir zu wenige oder keine Sicherheitsupdates bekomme. Und auch den Community Support kann ich mich bei den kleinen Stückzahlen von Shiftphones nicht wirklich verlassen, weil sich dadurch wahrscheinlich bei weitem nicht so viele Entwickler in ihere Freizeit mit einem Gerät beschäftigen wie es z.b. für die Oneplus/Pixel/Nexus Geräte der Fall ist. Deshalb ist es für mich besonderes Wichtig das ich mich da auch auf den Hersteller verlassen kann.

Ich hoffe ihr bekommt das Thema besser in den Griff in Zukunft und räumt euren Mitarbeitern auch genug Zeit ein sich um die Bestandsgeräte ausreichend kümmern zu können.

 

[blackcat]

bist du dir da 100% sicher? das wäre natürlich auch für die G-Version etwas nachlässig, aber bei der L- bleibt das Argument beta.
ist natürlich etwas schwierig wenn dann bei fehlenden sichheitsupdates auch der wechsel auf die offizielle version keine abhilfe schafft

Leider ja. Habe gestern vergessen, den Link zur Android-Seite mit den veröffentlichten Sicherheitsbulletins anzuhängen. Wird hiermit nachgeliefert:

Android Security and Update Bulletins | Android Open Source Project

source.android.com

Infos zu Sicherheitsthemen gibt es auch vom BSI-Newsletter, nicht nur zu Android sondern auch zu Windows, Linux und auch zu Sicherheitslücken bei Routern etc.:

Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

www.bsi-fuer-buerger.de

 

[peter17]

1.) Also ich kann für das SHIFT5me nur eine G-Version vom 15. Januar 2019 und eine L-Beta-Version vom 08. Februar finden:

https://forum.shiftphones.com/resources/shift5me-sos-1-1-g-20190115-flashtool.28/

https://forum.shiftphones.com/resources/shift5me-sos-1-1-l-20190208-full-ota.27/

Wie bekomme ich denn Zugang zu dem ShiftOS-L (für's shift5me)? Wenn ich den Link anklicke, heißt es, "You do not have permission to view this page or perform this action."
Da LineageOS noch nicht stabil läuft (siehe Link), würde ich gerne mal das shiftOS-L ausprobieren ... auch wenn's vorerst nur 'ne Beta-Version ist.

 

[seedschej]

Wie bekomme ich denn Zugang zu dem ShiftOS-L (für's shift5me)? Wenn ich den Link anklicke, heißt es, "You do not have permission to view this page or perform this action."
Da LineageOS noch nicht stabil läuft (siehe Link), würde ich gerne mal das shiftOS-L ausprobieren ... auch wenn's vorerst nur 'ne Beta-Version ist.

Du musst Beta-Tester sein, sonst geht's nicht. Gehe zu "Account" -> "Preferences" -> Häkchen setzen bei "Beta-Tester werden"

 

[Cabbit]

Hallo zusammen,
habe heute mein neues Shift5me erhalten, Android 8.0.0, Build SHIFT5ME.SOS.1.1.G.20190510, keine Updates verfügbar.
Bin ich nun auch (ungewollt) Beta-Tester und erhalte unregelmäßig Updates? In welcher Regelmäßigkeit kommen denn Updates für die Android-Version und den Sicherheitsstand? Kann man diese alternativ irgendwo von Shift manuell herunterladen?

 

[blackcat]

Die Android Sicherheitsbulletins gibt es monatlich, in Notfällen gibt es kurzfristige Aktualisierungen:

Android Security and Update Bulletins | Android Open Source Project

source.android.com

Leider kann man die nicht installieren,
wir sind auf updates von Shift angewiesen:

...
ShiftOS L ist derzeit eine Beta-Version, da kommt das neue Update, sobald es etwas Neues gibt ;-)
Die Sicherheitsupdates bekommst du nur über ein neues Betriebssystem-Update für dein SHIFT.
Derzeit arbeitet unsere Entwicklung an einem Update auf Android 8.1. Das ist sehr zeitaufwändig, daher dauert es aktuell leider etwas länger.

Kann ich leider nicht so richtig nachvollziehen und ist sehr allgemein. Nutzt jemand das ShiftOS-G und kann mir sagen ob dort aktuellere Patches als März 2019 verfügbar sind?

----
edit: Zitat vom Support kursiv gemacht

 

[Cabbit]

Wie regelmäßig gibt Shift diese denn frei? Kann ich irgendwo sehen, ob ich ungewollt die Beta-Version verwende?

 

[blackcat]

Bisher kamen die Updates für die G-Version monatlich, für die Beta alle drei Monate. Die letzte G-Version ist allerdings vom Mai, die letzte L-Beta vom März...
Ich fürchte, daß vor dem Erscheinen des 6mq nichts mehr passiert...
Zur Beta: ungewollt kannst Du sie nicht anweden. Du musst Dich erst als Beta-Tester anmelden und dann die Beta flashen, da sie älter als die G-Version ist.

 

[fxnn]

Das Ding beim letzten Mai-Update ist aber, dass kein Mensch weiß, was wirklich enthalten ist, da versehentlich "nicht alles übernommen" wurde. Meine Nachfrage nach dem nächsten Update blieb wieder einmal unbeantwortet. Ein korrigierendes Update blieb aus, auch nicht als Beta. Sehr ärgerlich: offensichtlich gibt es hier Bugfixes, die fertig zur Verteilung wären, aber keiner hat Lust, auf den Knopf zu drücken. Stattdessen lässt man die User sich weiter mit schon behoben Fehlern rumärgern.

Meine anfängliche Begeisterung über den direkten Draht zur Entwicklung ist so langsam vergangen und weicht dem Eindruck, dass dafür im Prinzip genau einer zuständig ist, was viel zu wenig für den Job ist sodass immer vieles auf der Strecke bleiben wird.

Viele Grüße,
Felix

 

[fxnn]

Wir haben nur aus Zertifizierungsgründen das sichtbare Level bei November gelassen.

Würde mich ich nochmal interessieren, was eine Firma dazu treibt, einen niedrigeren Patchlevel anzugeben als tatsächlich vorhanden und somit bei Kunden und Presse schlechter dazustehen als nötig. Spart man Geld, wenn man bei der Zertifizierung so tut, als hätte sich nix geändert? Wenn, muss es ja einiges sein, um die verunsicherten Kunden in Kauf zu nehmen...

Gruß,
Felix

 

[Roever]

Hallo zusammen,
habe heute mein neues Shift5me erhalten, Android 8.0.0, Build SHIFT5ME.SOS.1.1.G.20190510, keine Updates verfügbar.
Bin ich nun auch (ungewollt) Beta-Tester und erhalte unregelmäßig Updates? In welcher Regelmäßigkeit kommen denn Updates für die Android-Version und den Sicherheitsstand? Kann man diese alternativ irgendwo von Shift manuell herunterladen?

hier ist die "aktuelle" OS-Version deines Handys, stimmt also mit deinem überein, damit du dir ganz sicher sein kannst das du kein Beta-Tester bist

https://forum.shiftphones.com/threads/ota-update-shift5me-sos-1-1-g-20190510.2058/

sonst wurde ja schon alles gesagt, ist momentan etwas schwierig, wir hoffen alle auf ein baldiges Update von zumindest einer Versionart, damit alle die möchten umsteigen können. Ich gehe davon aus dass es am mangelden support der Chiphersteller liegt, und Shift die eigene Nachlieferung der Updates in Kombination mit der 6mq Auslieferung nicht gestämmt bekommt...

 

[Tvhvm5QV]

Zumindest für ShiftOS-G wird es wohl bald Updates geben. Nach einigen Mails an den Support habe ich heute wenigstens diese Information bekommen:

"Hallo [...] das Update für ShiftOS-G soll in 1-2 Wochen erscheinen. Wann ein Update für ShiftOS-L kommt, weiß ich leider nicht."

Allerdings ist trotzdem nicht klar, welches Patchlevel diese Version haben wird.

 

[blackcat]

oh, das sind ja mal Neuigkeiten.... Wer war da denn so auskunftsfreudig ? Habe den Eindruck, daß nach dem ständigen Zitieren von amartinz's Ankündigungen hier im Forum das Team sich bewußt mit Äußerungen dieser Art zurückhält...

Ich möchte aber bitte auch mal was von der L-Version hören, ob Beta oder nicht ist mir egal.