Android könnte so viel sicherer sein

Ich habe seit eini­ger Zeit ein Andro­id-Smart­pho­ne von Sony, das Xpe­ria Z5 Pre­mi­um. Tol­le Hard­ware mit gro­ßem Dis­play und Akku, eine Ober­flä­che sehr nahe an Stock Andro­id und im Ver­gleich mit ande­ren Her­stel­lern rela­tiv wenig Bloat­wa­re.

Sony hat auch rela­tiv schnell nach Erschei­nen des Geräts im Früh­jahr 2016 ein Update auf Andro­id 6.0 Mar­sh­mal­low ver­öf­fent­licht. Seit­her gab es noch ver­schie­de­ne klei­ne­re Sys­tem-Updates, das Andro­id ist dadurch bei Ver­si­on 6.0.1 ange­langt.

April, April

Sony schlampt aber, so wie die meis­ten ande­ren Andro­id-OEMs auch, beim zeit­na­hen Frei­ge­ben der von Goog­le schon seit Herbst ver­gan­ge­nen Jah­res mitt­ler­wei­le monat­lich ver­öf­fent­li­chen Sicher­heits-Patches für Andro­id. Mein Xpe­ria Z5 Pre­mi­um ist hier immer noch auf dem Stand von Anfang April 2016, egal ob ich OTA oder mit der Desk­top-Soft­ware Xpe­ria Com­pa­n­ion nach Aktua­li­sie­run­gen suche. Sprich Sony Mobi­le hat die Patch-Pake­te für Mai, Juni und Juli nicht an sei­ne Kun­den wei­ter­ge­ge­ben.

Xperia Companion Screenshot

Mit den erwähn­ten Patches wer­den zum Teil sehr gra­vie­ren­de Sicher­heits­lü­cken besei­tigt. Es fühlt sich für mich nicht gut an, wenn der Her­stel­ler eines so teu­ren und aktu­el­len Smart­pho­nes wie des Z5 Pre­mi­um sei­ne Kun­den hier nicht bes­ser ver­sorgt. Ich habe bei Sony vor eini­gen Tagen sowohl bei Twit­ter als auch via E-Mail an den deut­schen Sup­port nach­ge­fragt, für wann denn der nächs­te Andro­id-Sicher­heits­patch geplant ist. Und kei­ne Ant­wort bekom­men. Schwa­ches Bild.

"Ihr Gerät ist aktuell"

Nicht bloß ein schwa­ches, son­dern auch ein trü­ge­ri­sches Bild. Mein Xpe­ria ist näm­lich nicht aktu­ell und vor allem nicht so sicher, wie es sein könn­te.

Update am 25. Juli 2016: Und ich bin nicht allein.

HPI Identity Leak Checker

Identity Leak Checker Screenshot

Inter­net­nut­zer aus aller Welt kön­nen ab sofort prü­fen las­sen, ob Cyber­kri­mi­nel­le ihre Iden­ti­täts­da­ten gestoh­len und frei zugäng­lich ins Inter­net gestellt haben. Der vom Has­so-Platt­ner-Insti­tut für Soft­ware­sys­tem­tech­nik (HPI) ent­wi­ckel­te Ser­vice mit dem Namen HPI Iden­ti­ty Leak Che­cker ist in Deutsch und Eng­lisch auf der Web­site www​.sec​.hpi​.de zu fin­den. Kur­sie­ren im Web mit der E-Mail-Adres­se ver­bun­de­ne Namen, Pass­wör­ter, Kon­to­an­ga­ben oder ande­re per­sön­li­che Daten, warnt das deut­sche Insti­tut den Nut­zer per Ant­wort-Mail und gibt Ver­hal­ten­s­tipps. Die Daten selbst wer­den aus Sicher­heits­grün­den nicht preis­ge­ge­ben.

[Mehr dazu beim HPI]

Fritz!Box updaten – zur Sicherheit

Fritz!Box 7490 transparent
Bild: AVM

Auch AVM hat in den letz­ten Tagen fest­stel­len müs­sen, dass es 100-pro­zen­ti­ge Sicher­heit nicht gibt: Über den Fern­zu­griff per SSL (stan­dard­mä­ßig aus­ge­schal­tet) kann man Fritz!Box-Router angrei­fen und so mani­pu­lie­ren, dass teu­re Ruf­num­mern zum Bei­spiel im Aus­land ange­ru­fen wer­den. Die Fir­ma aus Moa­bit hat das aber (vor allem im Ver­gleich mit ande­ren, zuletzt von viel schlim­me­ren Sicher­heits­lü­cken in ihren Gerä­ten betrof­fe­nen Her­stel­lern) ers­tens trans­pa­rent und schnell kom­mu­ni­ziert und zwei­tens schnell beho­ben – seit der Vor­ankün­di­gung ges­tern Nach­mit­tag ste­hen bereits Firm­ware-Updates für die popu­lärs­ten Fritz!Box-Modelle 7390, 7270 (v2/v3), 7240 und die neu­es­te 7490 zur Ver­fü­gung, wei­te­re sind schon in Arbeit.

Ich fin­de, das ist eine vor­bild­li­che Kri­sen-PR. Und die hat mich nur dar­in bestärkt, AVM auch in Zukunft treu zu blei­ben.

AVM-Sicher­heits­hin­weis (mit aktua­li­sier­ter Update-Lis­te)

Lasst Euch nicht verarschen von Dommermuth und Obermann

Pressefoto_Email_made_in_Germany
Foto: Tele­kom

Der angeb­li­che Vor­stoß ist in Wahr­heit wohl nur ein scham­lo­ses Spiel mit dem gestei­ger­ten Pro­blem­be­wußt­sein der Nut­zer, das sich durch den NSA-Skan­dal ver­än­dert hat. Daß die E-Mail-Anbie­ter nun mit die­ser betag­ten Tech­no­lo­gie um die Ecke kom­men und sie als bahn­bre­chen­de Inno­va­ti­on ver­kau­fen wol­len, hat allen­falls aber einen gewis­sen humo­ris­ti­schen Effekt.
Cha­os Com­pu­ter Club (CCC)

Lukas Pit­schl of GPG­Tools told Ars this was merely a “mar­ke­ting stunt,” which would “not add real value to the secu­ri­ty of e-mail com­mu­ni­ca­ti­on.”
Ars Tech­ni­ca

Am Grund­pro­blem von E-Mail als von jedem les­ba­rer Post­kar­te ändert all das nichts. Weder wer­den die Inhal­te der Mail ver­schlüs­selt, noch wer­den die Mails auf ver­schlüs­sel­ten Fest­plat­ten gespei­chert (erst recht nicht mit Ent­schlüs­se­lungs-Mög­lich­keit nur durch User, wie Lav­a­bit das gemacht hat). Statt­des­sen wird die exis­tie­ren­de ver­ant­wor­tungs­lo­se Pra­xis jetzt als “sicher” ver­kauft, weil die Rechen­zen­tren ja in Deutsch­land ste­hen und “High-Tech-Rechen­zen­tren mit moder­ner Sicher­heits­tech­nik” sind. Mal abge­se­hen vom Mar­ke­ting-Sprech: An Vor­rats­da­ten­spei­che­rung, Bestands­da­ten­aus­kunft, stra­te­gi­scher Fern­mel­de­auf­klä­rung, G10-Gesetz und SINA-Boxen ändert das gar nichts.
And­re Meis­ter / Netz​po​li​tik​.org

Cave WhatsAppem

Whats­App, the extre­me­ly popu­lar instant messa­ging ser­vice for smart­pho­nes that deli­vers more than ~1 bil­li­on messa­ges per day has some serious secu­ri­ty pro­blems. […] Do not use Whats­App. Real­ly, don‘t.
@fileperms

Android-Sicherheit – DON’T PANIC!

Wenn man ges­tern und heu­te so Radio gehört (die­ser Bei­trag von @marcusschuler für B5 aktu­ell ist dan­kens­wer­ter­wei­se sehr sach­lich und seri­ös) und fern­ge­se­hen hat, konn­te man den Ein­druck gewin­nen, dass Andro­id unsi­cher und offen wie ein Scheu­nen­tor ist. Hin­ter­grund ist ein Bericht von For­schern der Uni Ulm, die ein Sicher­heits­pro­blem mit dem Cli­ent­Lo­gin-Pro­to­koll des mobi­len Betriebs­sys­tems von Goog­le ent­deckt haben. Ich will die­se Schwach­stel­le hier nicht her­un­ter­spie­len.

Jedoch sei der Hin­weis erlaubt, dass die tat­säch­li­che Gefahr aus mei­ner Sicht sehr über­schau­bar ist. Und zwar des­we­gen, weil es aus­schließ­lich um die draht­lo­se Über­tra­gung von Infor­ma­tio­nen in offe­nen, sprich unver­schlüs­sel­ten Wi-Fi-Net­zen geht. Nur dort haben böse Mit­men­schen über­haupt die Mög­lich­keit, ohne gro­ßen tech­ni­schen Auf­wand den Netz-Traf­fic mit­zu­snif­fen – und ent­spre­chend vor­sich­tig soll­te man dort grund­sätz­lich mit der Über­tra­gung sen­si­bler Daten sein, egal auf wel­cher Sys­tem­platt­form.

Mich tan­giert das Pro­blem ohne­hin nur extrem peri­pher, weil mein Nexus One schon unter Andro­id 2.3.4 läuft (der Vor­teil eines Smart­pho­nes mit „purem” Andro­id ist halt die umge­hen­de Ver­füg­bar­keit von Sys­tem-Updates) und ich Pica­sa nicht ver­wen­de. Allen ande­ren Andro­id-Nut­zern gebe ich ein­fach die sinn­vol­len Rat­schlä­ge der Ulmer Wis­sen­schaft­ler

* Switch off auto­ma­tic syn­chro­ni­za­ti­on in the set­tings menu when con­nec­ting with open Wifi net­works.
* Let your device for­get an open net­work you pre­vious­ly con­nec­ted to, to pre­vent auto­ma­tic recon­nec­tion (long press net­work name and select for­get)
* The best pro­tec­tion at the moment is to avo­id open Wifi net­works at all when using affec­ted apps.

mit auf den Weg und hof­fe, dass App-Ent­wick­ler und Goog­le sich ihre Emp­feh­lun­gen eben­falls zu Gemü­te füh­ren und zeit­nah umset­zen.

Und zitie­re abschlie­ßend noch Dou­glas Adams: DON’T PANIC!