• Zitat

    aber es gibt so unglaublich viele...


    Ich stehe vor einem aehnlichen Problem... noch dazu macht mir eine Vielzahl davon keinen sehr vertrauenswuerdigen Eindruck: es ist viel zu einfach "versteckt" Schadsoftware zu integrieren und - auch bei keiner boeser Absicht - die Hardware ausserhalb der Spezifikation zu betreiben od. auch nur Sicherheitsluecken aufzureissen.
    Alternativ kann man nur von den Android Quellen und den Herstellerquellen versuchen sich selbst ein ROM zu basteln... aber wer hat schon die Zeit dafuer. Wahrscheinlich ist es wirklich am besten vorerst beim (gerooteten) Hersteller-ROM zu bleiben.


  • Alternativ kann man nur von den Android Quellen und den Herstellerquellen versuchen sich selbst ein ROM zu basteln...

    abgesehen von der zeit (und der gefahr das telefon zu schrotten) hast du noch das problem von proprietaeren treibern die die hersteller nicht raus ruecken. ist mir alles zu muehsam.

    bern cyanogen hat sicher nix drin, das ist afaik das am aktivsten entwickelte, da müsstest du bei jedem open source projekt angst haben. bei den kleineren hab ich auch so meine bedenken...

    das ist ein riesen problem und wahrscheinlich gibt es keine (gute) loesung. wem kann man schon trauen? ob es stimmt will ich nicht beurteilen, aber prinzipiell koennen ja sogar grosze projekte upstream betroffen sein. dann hat man noch die leute die die pakete bauen. und fuer die ganz paranoiden: wann habt ihr das letzte mal den gcc-source gelesen? zu der thematik gibt es etwas ganz feines von ken thompson: reflections on trusting trust (stichwort misscompiled login command). nur was sind die alternativen? apple? microsoft? ;)

    bleibt wohl nur mit ken thompson abzuschlieszen:

    Zitat von ken thompson

    The moral is obvious. You can't trust code that you did not totally create yourself.

    Willfähriges Mitglied des Fefe-Zeitbinder-Botnets und der Open Source Tea Party.

  • Zitat

    cyanogen hat sicher nix drin


    Ah - da ist eh sicher nix drin? dann kann ich das ja unbesorgt installieren :)

    Nein, schau - ich habe auf meinem Telefon "vertrauliche Daten" (Passwoerter, Emails, meine aktuelle Position, ...), die ich zwar gern einer groesseren Linux Distribution anvertraue, ungern einem Hersteller and sicherlich nicht einer mir voellig unbekannten Einzelperson od. kleinen Gruppe.
    Es mag sein, dass bestimmte Mods einwandfreie Open Source Projekte sind und eh ein gewisses Codereview stattfindet. Von meiner Warte aus, ist die Szene aber extrem undurchsichtig...
    z.B. hab ich mir mal dieses CyanogenMod angeschaut und versucht es von Source zu builden: Dabei ist mir aufgefallen, dass sich viele "prebuilt" Binaries (neben proprietaeren, die doch eigentlich komplett von meinem Device kommen sollten?) bereits in den "Quellen" verstecken. Das mag zwar Vorteile (? Chicken Egg Probleme haette ich da jetzt keine gesehen) beim Builden eines Images haben, aber hilft der Transparenz ueberhaupt nicht.

  • Zitat

    hast du noch das problem von proprietaeren treibern die die hersteller nicht raus ruecken


    Das ist nicht 100% korrekt: wir haben die Binaries. Da das nicht so viele sind werden die auch gern Disassembled und begutachtet bzw. deren Verhalten an den Schnittstellen beobachtet. Was wir natuerlich wirklich nicht haben ist eine Sicht in die HW (versteckte Bootroms, Hypervisor, ..) aber du hast schon recht: irgendwo muss man beginnen zu vertrauen.

    Meiner Ueberzeugung nach sind das trotzdem Aepfel und Birnen: Vertrauen gegenueber einem Hersteller (der bei Schadcode und illegaler Ausspaehung zur Verantwortung gezogen werden kann) vs. gegenueber mMn intransparent/schlampig organisierten "Open-Source" Projekten.

  • jaja, das sind auch meiner meinung nach aepfel und birnen. in dem fall gings mir bei dem proprietaeren zeug gar nicht ums vertrauen sondern darum, dass es dadurch noch einmal schwieriger/zeitaufwaendiger wird sich sein eigenes rom zu bauen. so viele leute gibt es nicht die sich ausreichend mit reverse engineering auskennen. und binaries alleine nutzen nicht viel wenn sich die API geaendert hat. dann ist man wieder beim reverse engineering.

    Willfähriges Mitglied des Fefe-Zeitbinder-Botnets und der Open Source Tea Party.

  • Ah - da ist eh sicher nix drin? dann kann ich das ja unbesorgt installieren :)

    Nein, schau - ich habe auf meinem Telefon "vertrauliche Daten" (Passwoerter, Emails, meine aktuelle Position, ...), die ich zwar gern einer groesseren Linux Distribution anvertraue, ungern einem Hersteller and sicherlich nicht einer mir voellig unbekannten Einzelperson od. kleinen Gruppe.
    Es mag sein, dass bestimmte Mods einwandfreie Open Source Projekte sind und eh ein gewisses Codereview stattfindet. Von meiner Warte aus, ist die Szene aber extrem undurchsichtig...
    z.B. hab ich mir mal dieses CyanogenMod angeschaut und versucht es von Source zu builden: Dabei ist mir aufgefallen, dass sich viele "prebuilt" Binaries (neben proprietaeren, die doch eigentlich komplett von meinem Device kommen sollten?) bereits in den "Quellen" verstecken. Das mag zwar Vorteile (? Chicken Egg Probleme haette ich da jetzt keine gesehen) beim Builden eines Images haben, aber hilft der Transparenz ueberhaupt nicht.

    same here. wie gesagt, irgendwann muss man zu vertrauen beginnen. am smartphone bin ich anwender und ich hab keine lust mir den sourcecode durchzusehen :) mein punkt ist nur das cyanogen mehr anwender hat als bestimmte kleinere, aber bekannte linux distros, wo diese frage garnicht gestellt wird.

    dieses zwielichtige image manger roms kann ich bestätigen, allerdings hab ich noch nie gelesen das da mal zu einem massenklau von benutzerdaten gekommen wäre.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!