Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSwiftKey: Samsung reagiert auf Tastatur-Sicherheitslücke
Um sicherzustellen, dass das eigene Gerät die neuen Sicherheitsrichtlinien erhält, sollte kontrolliert werden, ob unter Einstellungen > Sperrbildschirm und Sicherheit > Andere Sicherheitseinstellungen > Sicherheitsrichtlinien-Updates die automatischen Updates aktiviert sind.
Sollte man nicht eher gerade jetzt darauf achten, dass die automatischen Updates nicht aktiviert sind?
Ich meine, wenn automatische Updates aktiviert sind, dann kann es am ehesten passieren, dass man ein Update der Swift Tastatur unwissentlich in einem offenen WLAN durchführt!
Wenn die Auto-Updates aus sind, dann macht man die Updates ausschließlich zuhause oder sonstwo in einem nicht-offenen WLAN, Problem gelöst!
Ausserdem finde ich die Aussage von Samsung daneben, dass Knox ja sowieso bei allen Galaxy Modellen aktiv sei. Ist es eben nicht! Man muss den Geräteschutz durch Knox selbst aktivieren - die Samsung eigene Hilfe-Seite erklärt, dass Knox eben nicht standardmäßig aktiv ist, weil sonst das Booten 1-2 Sekunden länger dauert...
Frage:
Kann mir jemand beantworten, welche Hersteller von Smartphones Updates direkt ohne den Provider zu nutzen übertragen oder bereitstellen? (Android, iOS, Windows... etc.)
....
Firmware-Over-the-Air (FOTA) ist eine Methode, um neue Systemsoftware (Firmware) auf mobile Endgeräte über eine Funkschnittstelle aufzuspielen (z.B. über WLAN oder Mobilfunknetz). Während beim klassischen Over-the-Air (OTA) ggf. lediglich Einstellungen für einzelne Dienste wie z. B. E-Mail, WAP, i-mode oder MMS angepasst werden, handelt es sich bei FOTA um das frische Aufspielen der gesamten Systemsoftware auf dem Endgerät.... https://de.wikipedia.org/wiki/Firmware_Over-the-Air
Ob alle die auf deine Frage geantwortet haben, den Unterschied zwischen (Zitat aus deiner Frage: ) Hersteller von Smartphones/ ... vom Betriebssystem// Smartphone mit Branding/... - ohne Branding/ Carrier-Version/ WorldWide-Version/ ... kennen?
2. Ließ dir mal die kurze Zusammenfassung https://www.droidwiki.de/Android_Update_Prozess durch, die leicht verständlich einen Updateprozess beschreibt und wer je nachdem dabei involviert ist:
Phase 0 - Testen
....
Phase 1 - Entwicklung
...
Phase 2 - Integration
Anschließend wird, je nach Version (Carrier, Google Play, HTC), verschieden verfahren.
WorldWide-Version (ohne Branding)
Carrier Version
Google Play Version
Phase 3 . Test/Zertifizierung
...
Phase 4 - Veröffentlichung
Nun bereitet der Smartphonehersteller für die
WolrdWide-Version,
zusammen mit den Carriern für die Carrier-Version,
und Google für die Google Play Version des Updates
die Update-Server vor. Abschließend wird das Update über OTA an die Kunden verteilt.
Nein. Wäre idiotisch so einen Fehler einzubauen um user zu überwachen. Das könnte man viel einfacher haben. Einfach mal die Quelle durchlesen und du kommst zum selben Schluss. Bin ich mir ziemlich sicher
Provider mögen z.B. sehr gerne, wenn sie ein Gerät exclusiv ohne lästige Konkurrenz mit überteuerten Tarifen verkaufen können.
Lästig ist nur, wenn der Hersteller auch am (Provider-) Umsatz beteiligt sein will, aber wenn die Gewinnmarge so hoch ist und der Hersteller im Gegenzug bereit ist, künstliche/technische Hürden einzubauen damit man überteuerte (Zusatz-) Tarife/Optionen verkaufen kann, warum nicht. Solange sich die Kuh melken lässt.
Zum Glück gibt es Kunden wie ...
Aktuelles Beispiel Apple:
Zeroday-Lücken in iOS und OS X: Bösartige Apps können offenbar Passwörter auslesen http://www.heise.de/security/meldun...en-offenbar-Passwoerter-auslesen-2715047.html
Die Lücke wurde Apple im Oktober 2014 mitgeteilt, schreiben die Sicherheitsforscher.
Der Konzern habe sich ein halbes Jahr für einen Fix erbeten....
Schwere Lücke 10.2014 an Apple gemeldet => 06.2015 Lücke besteht nach wie vor.
Na zum Glück habe ich beim Smartphone/Computerkauf einiges mehr ausgegeben.
SwiftKey ist bei IOS nur eine App, also müssen die Programmierer der App ihr Hinterteil hochbekommen um die Lúcke zu schliessen und kōnnen sich nicht hinter Apple verstecken wie bei Android.
Ergänzung ()
Bei IOS nur eine App, also Providerunabhângig, Updates müssten also von Swiftkey kommen und wären dann asap und direkt verfügbar
Bitte ankreuzen:
[ ] Ich habe nur die Überschrift gelesen
[ ] Ich habe die Überschrift + den ersten Absatz gelesen
[ ] Ich habe die Überschrift + den ersten Absatz gelesen + den zweiten Absatz. Aber schon der erste Satz dort war zu schwer.
Mir ist ohnehin rätselhaft wie man akzeptieren kann das man Updates nur vom Provider bekommt. Das ist ja noch akzeptabel bei einem Gerät was eh vom Provider kommt, wie z.B. ein Router, aber doch nicht bei einem Mobiltelefon.
In manchen Gebieten gibt es nur einen Breitband ISP und da akzeptierst du, dass der dich mit einem "Zwangsrouter" beglückt. Da wo man dir, im Unterschied zu Mobiltelefonen, keine Wahl lässt. Rätselhaft.
Ausserdem finde ich die Aussage von Samsung daneben, dass Knox ja sowieso bei allen Galaxy Modellen aktiv sei. Ist es eben nicht! Man muss den Geräteschutz durch Knox selbst aktivieren - die Samsung eigene Hilfe-Seite erklärt, dass Knox eben nicht standardmäßig aktiv ist, weil sonst das Booten 1-2 Sekunden länger dauert...
Heißt das um geschützt zu sein muss ich erst knox aktivieren? Irgendein update habe ich heute Nacht bekommen. Mein Handy hat sich plötzlich abgeschaltet und beim Neustart Android aktualisiert. Also denke ich mal dass ich die Sicherheitsrichtlinie bekommen habe.
Also bringt mir das nichts wenn ich knox nicht altiviert habe?
Sollte man nicht eher gerade jetzt darauf achten, dass die automatischen Updates nicht aktiviert sind?
Ich meine, wenn automatische Updates aktiviert sind, dann kann es am ehesten passieren, dass man ein Update der Swift Tastatur unwissentlich in einem offenen WLAN durchführt!
Wenn die Auto-Updates aus sind, dann macht man die Updates ausschließlich zuhause oder sonstwo in einem nicht-offenen WLAN, Problem gelöst!
@user4 base Herr Oberlehrer, ich habe auf die Frage eines anderen Users nämlich Gnasher zu SwiftKey und Apple geantwortet, was zugegebenermasen offtopic ist, weil Lücke nunmal bei Samsung aufgetreten und da Sicherheitsrelevant ist. Das nächste Mal fragen wir dich um Erlaubnis, versprochen
Ich hab mich da unglücklich ausgedrückt, es hätte lauten sollen:
"Ich weiß das Samsung jetzt selber ein OTA Updates bereitstellt, aber dies ist bei Samsung die absolute Ausnahme" (Sofern Samsung das wie im Artikel angekündigt auch wirklich macht...)
Alle Updates meines Samsung sind bisher über meinen Provider gekommen (Base+).
Das Samsung nicht gerade für eine kundenfreundliche Updatefrequenz bekannt ist, ist bekannt:
Alle Handyanbieter sind Kapitalistenschweine, wir sind generell am Arsch und werden gemolken und die Eierlegende Wollmilchsau wurde auch 2015 noch nicht gesichtet...
Kauf ich mein nächstes Handy halt wieder nach Haptik...
Sollte man nicht eher gerade jetzt darauf achten, dass die automatischen Updates nicht aktiviert sind?
Ich meine, wenn automatische Updates aktiviert sind, dann kann es am ehesten passieren, dass man ein Update der Swift Tastatur unwissentlich in einem offenen WLAN durchführt!
Wenn die Auto-Updates aus sind, dann macht man die Updates ausschließlich zuhause oder sonstwo in einem nicht-offenen WLAN, Problem gelöst!
Ausserdem finde ich die Aussage von Samsung daneben, dass Knox ja sowieso bei allen Galaxy Modellen aktiv sei. Ist es eben nicht! Man muss den Geräteschutz durch Knox selbst aktivieren - die Samsung eigene Hilfe-Seite erklärt, dass Knox eben nicht standardmäßig aktiv ist, weil sonst das Booten 1-2 Sekunden länger dauert...
Samsung ist Lizenznehmer von Swiftkey und hat eine modifizierte Version (mit erhöhten Rechten) ins System (Galaxy Modelle) integriert (gewurschtelt).
Nun holt sich diese modifizierte Samsung Swiftkey Tastatur ab und zu aktualisierte Sprachpakete.
GET ht tp://skslm.swiftkey.net/samsung/downloads/v1.3-USA/az_AZ.zip
Wie man sieht über eine unverschlüsselte Verbindung. Weil aber diese modifizierte Samsung Tastatur mit erhöhten Rechten ins System gewurstelt wurde, kann (könnte) der Inhalt der zip Datei an fast beliebiger Stelle geschrieben werden.
Diesen Umstand könnten beispielsweise Kriminnelle ausnutzen und in einem ungesicherten/öffentlichen WLAN
mit einer modifizierten zip Datei
auf ein Opfer mit einem noch nicht gepatchten Samsung Galaxy, welches die modifizierte Swiftkey Tastatur verwendet und welches zu diesem Zeitpunkt ein Sprachpaket Update abholt, angreifen. In Form einer Man-in-the-Middle Attacke.
Diese modifizierte Samsung Tastatur überprüft zwar die Echtheit/Vollständigkeit des Sprachpakets Updates (WOW), aber genialer Weise wird der SHA1-Hash auch in Klartext übertragen, so dass der Kriminelle im Stande ist diesen zu manipulieren und das „System“ das modifizierte Sprachpaket annimmt.
Die Sprachpaket Updates der modifizierten Samsung Tastatur stehen nicht im Zusammenhang mit den System Updates. Damit ist Empfehlung durchaus verständlich, zumindest für mich.
GrazerOne schrieb:
Sind die Fehler von Samsung absichtlich eingebaut worden ? (Überwachung der User) ???
Samsung könnte dir sowieso modifizierte Systemdateien, wie jeder andere Hersteller auch, unterschieben, dafür brauchen sie keine unverschlüsselte Verbindung.
Es gibt beispielsweise neben dem "normalen" (WorldWide-Version/ohne Branding) Galaxy S6 noch angepasste Carrier Versionenen für Verizon, AT&T, Sprint ... Jetzt kann es durchaus passieren, dass für die Verizon Version bereits ein Update/Patch ausgeliefert wurde und für die AT&T Version noch nicht.
@ run_for_fun
run_for_fun schrieb:
...Das nächste Mal fragen wir dich um Erlaubnis, versprochen ....
Wer sind wir? Bist du der offizielle Sprecher von ...
oder Pluralis Majestatis*
run_for_fun schrieb:
SwiftKey ist bei IOS nur eine App, also müssen die Programmierer der App ihr Hinterteil hochbekommen um die Lúcke zu schliessen und kōnnen sich nicht hinter Apple verstecken wie bei Android.
Bei IOS nur eine App, also Providerunabhângig, Updates müssten also von Swiftkey kommen und wären dann asap und direkt verfügbar
Dann erkläre doch mal (uns ), wie das bei diesem Android funktioniert und wie sich da die Programmierer verstecken können.
*Der Pluralis Majestatis ist die Bezeichnung der eigenen Person im Plural als Ausdruck der Macht. Hintergrund der Wahl der Mehrzahl ist, dass Monarchen oder andere Autoritäten immer für ihre Untertanen beziehungsweise Untergebenen sprechen und gleichzeitig eine Hervorhebung der eigenen Person stattfindet.
Gnasher schrieb:
...
...
Das Samsung nicht gerade für eine kundenfreundliche Updatefrequenz bekannt ist, ist bekannt:
...
Wer sind wir? Bist du der offizielle Sprecher von ...
oder Pluralis Majestatis*
Dann erkläre doch mal (uns ), wie das bei diesem Android funktioniert und wie sich da die Programmierer verstecken können.
*Der Pluralis Majestatis ist die Bezeichnung der eigenen Person im Plural als Ausdruck der Macht. Hintergrund der Wahl der Mehrzahl ist, dass Monarchen oder andere Autoritäten immer für ihre Untertanen beziehungsweise Untergebenen sprechen und gleichzeitig eine Hervorhebung der eigenen Person .
Oh, entschuldigung, das ich Gnasher auf seine Frage geantwortet habe . Aber du hast ja hier scheinbar "Hausrecht" und prinzipiell Recht, deshalb frage ich dich in Zukunft um Erlaubnis, wenn ich jemand antworte.
Wie das bei Android funktioniert, kann ich dir nicht beantworten, schein aber ein Teil des OS zu sein und da kennst du dich besser aus. Bei IOS ist Swiftkey eine App und wird deshalb vom Entwickler seperat geupdatet.
Updates des IOS werden sonst Providerunabhängig verteilt.
Dann verstehe ich nicht ganz warum du sowas schreibst:
run_for_fun schrieb:
SwiftKey ist bei IOS nur eine App, also müssen die Programmierer der App ihr Hinterteil hochbekommen um die Lúcke zu schliessen und kōnnen sich nicht hinter Apple verstecken wie bei Android.
...
Dann schreib doch von mir aus sowas:
Apple zwingt in Zukunft (iOS 9/OS X 10.11) die Entwickler ausschließlich verschlüsselte Verbindungen einzusetzen und Unverschlüsselte nur mehr in sehr wenigen Ausnahmefällen, denn damit kann man unter anderem Fehler in nicht ganz sauber programmierten apps/Diensten abfangen. Google würde gut daran tun dem Beispiel zu folgen.
Dann bin ich zu 100% deiner Meinung.
App Transport Security
App Transport Security (ATS) lets an app add a declaration to its Info.plist file that specifies the domains with which it needs secure communication. ATS prevents accidental disclosure, provides secure default behavior, and is easy to adopt. You should adopt ATS as soon as possible, regardless of whether you’re creating a new app or updating an existing one.
... schein aber ein Teil des OS zu sein und da kennst du dich besser aus. Bei IOS ist Swiftkey eine App und wird deshalb vom Entwickler seperat geupdatet.
...
Frage:
Kann mir jemand beantworten, welche Hersteller von Smartphones Updates direkt ohne den Provider zu nutzen übertragen oder bereitstellen? (Android, iOS, Windows... etc.)
Das müsste doch die Sicherheit aufgrund der besseren Updatefrequenz erhöhen?
