Sicherheitsupdates und CyanogenMod

Startseite
Anhänge:
Nachricht
+ (text/plain)
+ (text/html)
Nachricht löschen
Nachricht beantworten
Autor: Daniel Laczi
Datum:  
To: LUSC Mailingliste
Betreff: Sicherheitsupdates und CyanogenMod
Hi zusammen,

da ich mich vor Kurzem fragte, wie das mit CynogenMod und der Sicherheitspatch-Ebene ist und im Netz dazu nur wenige Fehlinformationen zu finden sind, habe ich Nachstehendes recherchiert und mir gedacht, ich teile es mal mit euch. Es scheinen ja einige CM User mit zu lesen:

Android ist mittlerweile leider für seine Sicherheitslücken und die träge Bereitstellung von Updates bekannt. Einige technisch versierte Benutzer installieren sich daher Custom-ROMs, wie beispielsweise CyanogenMod (http://www.cyanogenmod.org/). Insbesondere für ältere Geräte bekommt man mit solchen ROMs eine aktualisierte Firmware, doch viele Benutzer wiegen sich aufgrund Unwissenheit in falscher Sicherheit. Warum?

Im Herbst 2015 führte Google die Android-Sicherheitspatch-Ebene ein. Diese findet man auf aktuellen Geräten in den Einstellungen. So sollten in einer offiziellen Firmware beispielsweise bei der Sicherheitspatch-Ebene "5. August 2016" alle zuvor erschienenen Sicherheitsupdates eingespielt sein. Doch ist dies auch bei CyanogenMod der Fall?

Die Antwort ist nein. Ein Beispiel:

Die Android-Sicherheitspatch-Ebene in CyanogenMod wird angepasst, indem einfach das Datum im Code geändert wird: http://review.cyanogenmod.org/#/c/154765/2/core/version_defaults.mk Die Sicherheitspatch-Ebene für den 5. August 2016 wurde bereits am 2. August eingefügt und war ab diesem Zeitpunkt in den Nightly Builds verfügbar (http://review.cyanogenmod.org/#/c/154724/). So installierte ich am 3. August das aktuellste Nightly auf einem Samsung Galaxy S4 und hatte aufgrund des genannten Commits im Code scheinbar die aktuellsten Sicherheitsupdates installiert (angezeigte Sicherheitspatch-Ebene: 5. August 2016).

Leider stimmt die Anzeige aber nicht mit den Informationen von Google überein. Laut Google wird z. B. die Sicherheitslücke CVE-2016-2504 mit Android-Sicherheitspatch-Ebene 2016-08-05 behoben: http://source.android.com/security/bulletin/2016-08-01.html Für das Samsung Galaxy S4 wurde das Update erst am 9. August in den Code von CyanogenMod gemerged - siehe http://review.cyanogenmod.org/#/c/155648/ - und hat es damit am gleichen Tag in das Nigthly geschafft.

CyanogenMod ist meiner Meinung nach eine sehr tolle Sache, nur darf man sich bei dem Thema Sicherheitsupdates nicht in die Irre führen lassen. Die Sicherheitspatch-Ebene garantiert nicht, dass Updates wirklich installiert wurden! Möchte man sehen, welche Updates hinzugefügt wurden, kann man dies nur manuell tun. Alle Änderungen am Code findet man unter review.cyanogenmod.org: http://review.cyanogenmod.org/#/q/status:merged

Selbstverständlich möchte ich niemanden davon abhalten CyanogenMod zu installieren! Auf privaten Geräten habe ich selbst offizielle Nightlies im Einsatz :)

Feedback willkommen :)

Gruß
Daniel