🇩🇪 FP1 und Sicherheit

Das zweifelt doch niemand ernsthaft an. Es ändert jedoch nichts daran, dass, wie eingangs geschrieben, ohne kritische offene Sicherheitslücke kein Ausbruch aus der Sandbox und damit keine dauerhafte Kompromittierung der Sicherheit meines Geräts möglich ist.

Du magst sagen, dass die Android-API Zugriff auf Dinge ermöglicht, von denen du grundsätzlich nicht willst, dass auf sie zugegriffen werden kann - diese Argumentation geht jedoch in eine völlig andere Richtung als das, worum es hier geht.

Zum einen hat selbst die Android-API Grenzen. Beispielsweise kann keine Anwendung den geschützten Speicherbereich einer anderen Anwendung auslesen oder ihn beschreiben, den Netzwerkverkehr einer anderen Anwendung mitlesen oder auf ihr nicht zugeteilte Arbeitsspeicherbereiche zugreifen. Keine Anwendung kann über ihren Deinstallationszeitpunkt hinaus Code auf deinem Telefon ausführen.
Du behältst also eine gewisse Kontrolle über das, was auf deinem Gerät passiert.

Zum anderen: Wenn eine Anwendung deinen Kalender ausliest, tut sie das mit Ankündigung. Du wirst im Vorhinein darüber informiert und hast die Möglichkeit, dich gegen oder für eine Installation zu entscheiden (von mir aus sogar die API-Calls mit XPrivacy zu blockieren, Internetzugriff per iptables zu entziehen, …).
Du als Nutzer wirst also zumindest grob darüber informiert, was dich erwartet. Auch hier behältst du ein Stück weit die Kontrolle.
Und: völlig egal, ob du die Anwendung installierst oder nicht, sie wird nur durch Ausnutzung ungepatchter Lücken in der Lage sein, die Sicherheit deines Systems vollständig und nachhaltig zu kompromittieren.

Zu verlangen, dass Fairphone die Möglichkeiten der Android-API beschneidet, wäre ohnehin müßig und illusorisch. Sicherheitsupdates hingegen gehören zur moralischen Verantwortung des Herstellers gegenüber seinen Kunden.
(Eine rechtliche Ausweitung der gesetzlichen Gewährleistung auf solche Softwaremängel zusammen mit irgendeiner Art von Haftungsregelung ist m.E. längst überfällig - das nur am Rande)

So, nun stellen wir der Anwendung, die brav ihre Kalenderberechtigung anfordert und dann deinen Kalender ausliest, einer anderen gegenüber. Sie fordert vor der Installation genau keine Berechtigung an. Klingt harmlos, oder? Dummerweise liefert sie diesen fertigen Root-Exploit mit. Einmal ausgeführt und du hast verloren.
Das selbe kann dir mit jedem einzelnen verdammten Update passieren, dass du für bestehende Anwendungen installierst.
Ergebnis: Das System ist dauerhaft kompromittiert. Der Nutzer hat keine Chance, es im vorhinein zu erahnen, es währenddessen zu merken oder später etwas dagegen zu tun. Das einzige bisschen “Kontrolle”, falls man es so nennen will, das er in diesem Szenario ausüben kann, ist, von nun an vollständig auf die Installation jeglicher Software zu verzichten.

Ich hoffe, der Unterschied ist klar geworden. Es ist meines Erachtens für keinen Durchschnittsnutzer auch nur ansatzweise möglich, die Verantwortung zur Entschärfung dieses Risikos selbst zu tragen, und es sollte auch nicht nötig sein: Die Verantwortung dafür liegt allein beim Hersteller.

Using such an old car you take voluntarily the risk of being less safe then is possible. Being 17 years old, one could argue that the normal life expectancy has passed.
A pity to see that the same applies to my only one year old FP, which is undoubtedly not as expected.

Und mein Punkt ist das die Sicherheit der Nutzer eben nicht nur von der Sicherheit des Gerätes ist. Dein Punkt war:

Das halte ich für eine gefährliche Vereinfachung. Ja, Android Hersteller sollten Updates bringen, ja Sicherheits-Updates sollten zumindest während des üblichen Lebenszyklus eines Gerätes garantiert sein. Gerne auch gesetzlich wie die ansprichst. Das ändert aber nichts daran: Als Nutzer wirst du immer eine Mitverantowrtung für die Integrität deiner Daten haben (und dabei geht es doch bei der Sicherheit von Smartphones hauptsächlich, oder?). Kein Google Nexus mit same-day Updates wird dich davor bewahren und auch keine Sandbox. Und von “obskuren Websites” ganz zu schweigen.

Brauchst sie zum leaken von Daten auch nicht, dazu reicht der Zugriff auf die SD-Karte meistens aus.

Sonst hast du mit deinen Forderungen natürlich recht. Aber das ändert auch nichts an der Situation. Ich wehre mich gegen die Aussage alle Android < 5.0 Versionen seien jetzt offen wie Scheunentore und das ganze Internet ein gefährliches Minenfeld, so das 300 Millionen Geräte, darunter alle Fairphones, am besten sofort weggeschmissen würden – das ist Panikmache. CVE 2014-7911 trifft angeblich auf Android 4.4.4 zu. Gehen wir davon aus das auch ältere Geräte betroffen sind (ich weiß es gerade nicht), dann sind das wahrscheinlich um eine halbe Milliarde Geräte da draußen.

Nun mal ohne theoretische Angriffszenarien, glaubst du nicht da würden wir alle deutlich mehr von Angriffen hören, mehr betroffene kennen, wenn es so unsicher wäre wie hier beschrieben? Übrigens: Ja, das ist eine fiese Lücke. Kees Jongenbor hat ja schon angekündigt das Sie versuchen sich darum zu kümmern.

Ein Risiko bleibt bei allem was man tut, Radfahren, ins Internet gehen oder wie oben beschrieben Autofahren. Trotz alles Assistenzsysteme (wilder Vergleich: Sandbox), am Ende sitzt ein Mensch dahinter. Und muss mit dafür sorgen das es sicher zugeht.

Und am Ende: Ich bin ja auch unglücklich über diese Situation. Die Verwantwortung sehe ich aber auch bei Mediatek und vor allem Google (und ja, auch Fairphone hätte es besser wissen können). Ich finde es ok darüber unglücklich zu sein. Aber hunderte millionen Androidnutzer/innen geht es genauso. Ich bin nicht dafür das wir alle unsere Geräte wegwerfen, sondern für konstrutive und sachliche Auseinandersetzung.

I’m well aware that I, according to the EuroNCAP data, would be much safer in a brand new Mercedes V Class or a Land Rover Discovery. That I haven’t ditched my Skoda for any of those is not only a voluntary choice, though And if a sleepy lorry driver with a false driving license and worn-out tyres hits me, not even a Mercedes will save me.
But yes, keeping my FP1 for the next two years or so (unless it crashes completely) is a voluntary choice I’m prepared to make. How about meeting here at the end of 2016 and share experiences? Who knows, you may have the pleasure of saying “I told you so”.

So halte ich es auch. Ich verwende wenige und vor allem keine werbefinanzierten Apps (F-Droid ist in diesem Kontext ein interessantes Projekt) und natürlich Firefox. Damit wird die Webview Lücke zu einem relativ geringen Risiko.

Wer ständig Apps von allen möglichen Entwicklern installiert, dem ist evtl. tatsächlich zum Umstieg zu raten.