AndroidPit: Interessantes Interview mit Robert Baptiste über das Android-Ökosystem

Robert Baptiste alias Elliot @fs0c131y Alderson ist ein selbständiger Software-Entwickler, der seit einiger Zeit Aufsehen erregt, da er mit dem Finger auf die ein oder andere Sicherheitslücke zeigt. Er zeigt in einem Interview mit AndroidPit auf, wie weit AOSP von den OEM Versionen abweichen.

Google stellt das Android Betriebssystem als AOSP (Android Open Source Project) frei zur Verfügung. Doch die Hersteller sind eifrig dabei, diese Version anzupassen. Die Endnutzer bekommen davon zunächst nur andere Oberflächen und oder Services der OEMs mit. Das ist ein Pluspunkt für Android: die freie Anpassbarkeit. Doch im Hintergrund läuft noch viel mehr.

Mit Project Treble sollte Android 8 sicherer und schneller patchbar machen. Doch werden die closed-sourced Kompontenen einfach in eine andere Partition verschoben und separat angesteuert. Da dauert es erheblich länger Schwachstellen zu entdecken.

Baptiste nimmt sich neben Wiko (große Sicherheitslücken betreffend ADB) aber auch als Beispiel PayPal vor:

Baptiste hat die Grundlagenarbeit geleistet, welche für das Auffinden von neuen Lücken bei Xiaomi, OnePlus und Asus führte. Doch bisher reagieren die Hersteller entweder gar nicht oder nur sehr verhalten.

BlackBerry setzt seit einiger Zeit auch Android ein. BlackBerry härtet das System ab, doch helfen diese Maßnahmen nicht gegen MetaDaten Sammeleien von Apps. Man sollte sich gut überlegen, was man installiert und nutzt. Da BlackBerry alle Services von Google nutzen wollte, laufen auch alle Google Services als Standard im Hintergrund. Auch diese werden nicht von BlackBerry unterdrückt, was so oder so nicht seitens Google erlaubt ist. Doch schützen die BlackBerry Maßnahmen zum Beispiel vor einem (un-)gewollten Root und anderen Manipulationen des Betriebssystems. Und Android Enterprise / Dynamics Daten sind eh über weitere Sicherheitslayer geschützt, somit sind zumindest die Businessdaten geschützt.
Aber auch Business Geräte mit COPE / BYOD Aktivierung werden privat genutzt und haben einen der Aktivierung entsprechenden privaten Perimeter, somit werden auch von diesen Geräten MetaDaten gesammelt.

Forumsdiskussion

Schreibe einen Kommentar