News Google gibt längere Schonfrist für Sicherheitslücken

[HaZweiOh]

Gibt ja auch für manche "Google" Geräte kein 4.4.x mehr.

Doch , gibt es: Für alle Nexus-Geräte seit 2012 drei Jahre Support. Mein 2012er N7 läuft auch schon mit Android 5.0.2

Windows Phone hat übrigens das gleiche Problem, dass Dritthersteller die Updates nicht liefern. Selbst wenn's da einen Trick gibt: Otto Normalverbraucher wird sich nicht darum kümmern, was bei Mobilgeräten allerdings auch nicht erforderlich ist, da bisher nie durch (tatsächlichen!) großen Trojanerbefall aufgefallen.

 

[cbtestarossa]

Otto intressiert auch bald niemand mehr
Ubunutu und Mozilla machen das schon.

 

[charly76]

@HaZweiOh
Für unser Nexus i9250 wird kein offizielles 4.4 angeboten und das habe ich Ende 2012 für meine Frau gekauft.

 

[CvH]

Für unser Nexus i9250 wird kein offizielles 4.4 angeboten und das habe ich Ende 2012 für meine Frau gekauft.

das Nexus S kam Dezember 2011 raus -> geleisteter Support bis 4. Okt. 2013 sind fast 2 Jahre

 

[etking]

Sicherheitslücken gehören sofort veröffentlicht, 90+14 Tage ungeschützt zu sein ist nicht akzeptabel. Nur weil die Lücke nicht öffentlich ist, heißt es noch lange nicht, dass sie nicht schon längst ausgenutzt wird. Google ist doch nur der Bote, der zu einer schnelleren Behebung und besseren Programmierung beiträgt.

 

[Q-Tea]

@etking: Ich bezweifle, dass ein sofortiges veröffentlichen der Sicherheitslücken wirklich zum Schutz der Anwender führt. Patches brauchen halt auch seine Zeit.
Klar kann es sein, dass die Lücke bereits aktiv genutzt wird - ein veröffentlichen bevor der Patch rausgekommen ist, ändert aber nichts daran und erhöht das Risiko enorm.

Prinzipiell ist es gut, dass Google Fristen setzt und auch ziemlich deutlich gezeigt hat, dass sie mit der Veröffentlichung ernst machen. Ist ein guter Ansporn für Unternehmen beim patchen ordentlich ranzuklotzen.
Nach Absprache eine Gnadenfrist (zum Schutz der Anwender) ist ein guter Schritt.

@ozelot.junior:
Ich vermute mal, dass ein Betriebssystem ein ganzes Stück komplexer ist als ein Programm, das darin gestartet wird.
Ein befreundeter Software-Entwickler meinte mal:"ein bug behoben, 10 neue Fehler gefunden" - Fehlerbehebung ist enorm aufwendig.
Keine Ahnung wie sehr die Hardware-Kompatibilität da noch mit reinfunkt. Bei der Vielzahl an möglichen Zusammensetzungen...
Vielleicht bist du aber auch tiefer in der Materie. Für mich als halb-hobby-nerd klingt es auf jedenfalls sehr komplex.

 

[smalM]

das Nexus S kam Dezember 2011 raus -> geleisteter Support bis 4. Okt. 2013 sind fast 2 Jahre

Es geht nicht um das Nexus S sondern um das Galaxy Nexus.

Und es ist völlig egal, wann das Ding rauskam, entscheidend ist, wann der Verkauf offiziell eingestellt wurde!
Der Nachfolger, das Nexus 4, wurde am 29.10.2012 vorgestellt.
Da ist nix mit fast zwei Jahren Support!

Es gibt einfach nichts zu beschönigen - wenn es um Support geht, vergackeiert Google seine eigenen Kunden genauso wie die anderen Hersteller.

 

[Pure Existenz]

Habe ich das richtig verstanden - 90 Tage haben die Unternehmen zeit und wenn sie es nicht hinbekommen nochmals 14 Tage?

WTF - 90 Tage - in der zeit gibts zig tausend neue Lücken.
Wollen die uns verarschen?
In dem Fall für google. 90 Tage sind schon viel zu lange!!! Zensur = ?

 

[AshS]

Doch alles nur Speichellecker, also wenn ich eine Sicherheitslücke finde, werde ich die noch am selben Tag veröffentlichen!

Die Leute werden mich dann dafür hassen, aber vor allem Microsoft und was will man mehr? Der Fortschritt sollte sich nicht von irgendwelchen Konzernkleingeistern diktieren lassen!

 

[G00fY]

Warum muss sich Google da eigentlich als "Sicherheitslücken-Polizei" aufspielen?! Vor allem da sie selbst mit voller Absicht Sicherheitslücken in alten Android Versionen offen lassen, obwohl über 100 Millionen Geräte betroffen sind?

Solltest dich vielleicht mal etwas mit der Materie befassen. Ist ja peinlich dieser Beitrag. Oder war mal wieder Fütterungszeit?

Google wirbt mit der Sicherheit von Google Chrome. Die ist aber beispielsweise nur gegeben, wenn das Flash Plugin sicher ist und wenn Windows keine Lücken hat (lassen sich ohne Admin Rechte Einstellungen von Chrome manipulieren?). Google selbst bezahlt ja sogar Privatpersonen oder andere Dritte die Fehler in ihren Diensten und Ihrer Software finden: Chrome Reward Program Rules

Das "fremde Entwickler" in andere Software nach Fehlern suchen ist inzwischen längst verbreitet in der Softwareentwicklung und hat nichts mit "Sicherheitslücken-Polizei" zu tun.

Android ist hierbei wieder eine ganz andere Geschichte. Ist klar das man mit dem Thema immer kommen muss. Hier ist Google (ja auch bei älteren Android Versionen) aber längst nicht tatenlos und lässt mit Sicherheit keine Lücken absichtlich offen: How Google's Android security is about to get even smarter

 

[Themenersteller]

Einerseits gut, Google macht kostenpflichtige Drecksarbeit zum Nulltarif, andererseits machen sie damit aktiv druck sodass andere schlechte presse abbekommen, zweischneidiges Schwert also, denn warum sonst melden sie Probleme bei Software usw bei Dingen die sie gar nicht selbst nutzen.
Google Fans sehen es naturgemäß als gut an, ist der natürlich trieb des Fans, aber so einfach ist die sache auch nicht, da es eine negativ Propaganda versteckt in etwas positivem ist.

 

[Shririnovski]

Oh google findet Fehler in Software, teilt diesen MS mit und sagt sowas wie "hey ich will euch nicht an den Karren fahren, ich warte mal 90 Tage, damit du die Lücke schließen kannst", die Reaktion von MS: länger als 90 Tage warten und dann google ankacken. Sorry aber einer der beiden Softwareriesen führt sich da doch eindeutig wie ein kleines Kind auf.
Eine zusätzliche (zu den 90! Tagen) Schonfrist ist lächerlich.

 

[Forum-Fraggle]

Tolle Einstellung, das sollte Microsoft am besten auch so umsetzen. Da ist man fein raus, immer schön die Verantwortung weg schieben und auf andere zeigen, genial!

Da der Besitzer aber nicht so ohne CM ein anderes ROM aufspielen kann, liegt nun mal die Updateverantwortung beim Hersteller. Und der will nicht immer Updates, weil die Kunden gefälligst neue Handys kaufen sollen.

 

[Shagrath]

Kinderkram! Die meisten Anwender installieren sich Updates eh manuell.

Wie kommst Du denn darauf?

 

[MichiSauer]

2 dinge sind zu beachten, wenn man diese softwarelucken betrachtet.
1. Ist Windows nicht mit android vergleichbar,
Schon weil man 2 unterschiedliche systeme verfolgt. Dass android mit extremer anpassungsfähiger Oberfläche kommt und windows nah an einem closed system arbeitet ist dabei schon fast zu vernachlässigen.
Fehlende updates für android sind aufgrund der weitreichenden anpassungen der hersteller auch deren schuld. Mein nexus4 hat schon lollipop, bei meinem g2 warte ich noch drauf.

2. Das schließen einer Lücke ohne andere zu öffnen is ziemlich aufwendig. 90 tage zeit is da schon sehr fair.

Android in reinform hat im schnitt kaum mehr als 60 tage, bevor ein neues update kommt.

 

[Forum-Fraggle]

Ich frage mich, was manche sich unter Sicherheitslücken beheben vorstellen. Ich bin zwar kein Programmierer und muß nur mit VB und SQL Skripten arbeiten, aber ich würde dennoch diesen Vergleich anwenden:
Versucht mal einen Wort, bestenfalls einen Satz aus einem Buch vom Umfang Krieg und Frieden herauszufinden, der u.U. nicht dem Schreibstil entspricht. Eine Sicherheitslücke ist selten ein Fehler im Code als vielmehr unsauber programmiert. D.h. der Code funktioniert, aber nicht so wie er soll. Und das muß man erst einmal finden.

 

[joel]

Grundsätzlich finde ich das als eine unerträglich Anmaßung von Googel

Ich hoffe denen Tritt demnächst auch jemand deart auf den Schwanz!
In Deutschland gilt deutsches Recht und nicht Irisches!
Und dieses Android läuft doch auch nicht fehlerfrei oder?
Also mein PC läuft definitiv stabiler als Android! Wie hoch ist den die halbwertzeit von Google Software und Hardware ?
Wenn es hoch kommt maximal 1Jahr. Microsoft bringt es da doch locker auf 4 bis 6 Jahre.

 

[Wolfsrabe]

So oder so ist gruselig wie Google sich aufspielt, im Zusammenspiel mit der Marktmacht und dem Eindringen in die Privatsphäre von freiwilligen und unfreiwilligen Nutzern.

Ungeschlossene Sicherheitslücken sind gefährlich, aber einfach Googles selbsternannte Rolle als globale Sicherheitspolizei kritiklos abnicken ist es auch.

 

[kai84]

Warum muss sich Google da eigentlich als "Sicherheitslücken-Polizei" aufspielen?! Vor allem da sie selbst mit voller Absicht Sicherheitslücken in alten Android Versionen offen lassen, obwohl über 100 Millionen Geräte betroffen sind?

Genau, sollen Sie das ausnutzen der Sicherheitslücke doch einfach ein paar freundlichen Hackern oder Skript-Kiddies überlassen.

Und Google schließt mit neuen Android-Versionen auch regelmäßig Sicherheitslücken - wenn Hersteller wie Samsung Ihre Bloatware nicht auf die neuen Versionen portiert bekommen ist dies nicht das Problem von Google.

Ich finde 90 Tage (also ein ganzes Quartal!!!) ist vollkommen ausreichend, eher noch zu lange. Diese Frist nochmal zu verlängern finde ich nicht gut.

 

[SothaSil]

Man muss ja nur die aktuelle bzw Andoid 4.4 installieren um das Problem zu beheben, wenn der jeweilige Hersteller der Meinung ist die neuen Versionen nicht durchreichen zu müssen wäre evtl dort die Kritik angebracht (an der Hardware liegt es bei zumindest 4.4 nicht).

Naja, nach der Logik bräuchte Microsoft auch keine WIndowsupdates für mehr als die aktuellste Version rausbringen.
Aus welchen Gründen auch immer, von reiner Hardware bis hin zum Migrationsaufwand werden nicht aktuelle Betriesbsystemversionen immer in Verwendung sein - und man kann Google als Ursprung dieses Betriebssystems nicht aus der Mitverantwortung nehmen für nicht aktuelle Versionen.