19.07.2013

Noch'n Update. CyanogenMod ist schneller als Google Nexus.

Mein Vertrauen in die Nexus-Baureihe der Android-Smartphones ist leicht erschüttert ...

Es gibt zwei bekannte Sicherheitslücken in Android (angeblich seit 1.6), mit denen man die Installationsarchive (apk-Dateien) so verfälschen kann, dass die Prüfsumme korrekt ist, aber trotzdem bösartige Dateien aus diesem Paket auf dem Smartphone installiert werden.

Die Sicherheitslücken können allerdings nur ausgenutzt werden, wenn man apk-Dateien am Google Play Store vorbei installiert ("side loading") und dazu in den Sicherheitseinstellungen "Installation aus unbekannten Quellen" erlaubt. Beim Upload in den offiziellen Google Play Store wird seit einiger Zeit geprüft, ob Apps in dieser Art verfälscht sind. Hier sollten Android-Benutzer also auf der sicheren Seite sein.

Allein die Namensgebung dieser Einstellungsmöglichkeit sollte Warnglocken klingeln lassen ... Allerdings erfordert jeder alternative App Store, wie z.B. Amazon, dass man dort ein Häkchen setzt. Eine gewisse Gefahr besteht also durchaus auch in der Realität. Zumal es auch schon Baukastensysteme gibt, die die Erstellung von bösartigen apk-Dateien stark vereinfacht.

Ich hoffe, dass in der Google-Veranstaltung, die demnächst stattfindet, eine neue Android-Version angekündigt wird, in der diese Fehlerkorrektur enthalten ist. Und vor allem hoffe ich, dass mein Galaxy Nexus das nächste Android-Update noch mitmachen wird. Das Vorgänger-Modell Nexus S ist bei 4.1.2 stehengeblieben und hat kein 4.2 mehr bekommen. Irgendwann wird vermutlich auch mein Modell "out of support" sein. Bis jetzt schlägt es sich aber noch ganz wacker, die technischen Daten sollten für 4.3 auf jeden Fall gut genug sein.

In den Android-Quelltexten ist der Fehler repariert, aber es wurde noch kein Update auf die Nexus-Geräte verschickt.

Hier ist CyanogenMod schneller gewesen. Mit den Updates 10.1.1 und 10.1.2 wurden nacheinander beide Sicherheitslücken repariert und als "stable"-Versionen veröffentlicht, zumindest für die "offiziell" unterstützten Geräte.

Ich bin jetzt also in der etwas merkwürdigen Situation, dass meine Frau mit dem i9000 Galaxy S und CM 10.1.2 aktueller ist als ich mit dem i9250 Galaxy Nexus ;). Ich überlege ernsthaft, ob ich ebenfalls auf CM umsteige.