Sicherheitsrisiko Custom ROM?

  • Antworten:9
3
Gelöschter Account
  • Forum-Beiträge: 9

23.02.2011, 15:16:01 via Website

Hey Leute,

nachdem ich jetzt zwei Monate lang ein HTC Desire besitze und einige Custom ROMs ausprobiert habe (Leedroid 2.3d, Cyanogenmod 7 und iNsert Coin), stellt sich mir die Frage, wie sicher meine Daten eigentlich in einem Custom Rom sind.

Zur Zeit benutze ich iNsertCoin 1.9.1, welches sehr gut und stabil läuft - bisher zumindest. Da ich aber auf meinem Telefon meine gesamten Daten versammelt habe, unter anderem S - Banking, 1Password und meine Mailaccounts, wäre es doch ein fataler Gedanke, wenn in einem Custom Rom eine Funktion integrier wäre, die beispielsweise Passwörter ausliest, Daten abfängt, meine Bankkontodaten klaut...

Es geht mir hier nicht primär um die Sicherheit gegenüber Viren/Würmern/was auch immer, sondern konkret um den Gedanken, ob ein findiger ROM Ersteller sein ROM so konfigurieren könnte, dass es Kreditkartendaten, Bankdaten etc., eben die gesamte vertrauliche Kommunikation abfängt.

Was meint ihr, wie steht es mit dem Risiko darum? Würde das jemandem auffallen, wenn jetzt z.B. mein iNsertCoin Rom so ein Verhalten zeigen würde...

Antworten
Thor Ben 28
Thor Ben
  • Forum-Beiträge: 1.759

25.02.2011, 01:37:12 via App

Hey,

also, ich sag's mal so...

Möglich ist es auf jeden Fall. Das ROM wird in den meisten Fällen doch ziemlich verändert.

Solange man jedoch bei den bekannteren bleibt - Cyanogen, AuraxTSense, Leedroid, MIUI & Co. - sollte man nichts zu befürchten haben.

Bei einem neuen unbekannten aus Far Far Away wäre ich jedoch vorsichtig, wenn du verstehst was ich meine... :bashful:

Außerdem immer nur über bekannte einschlägige Foren, etc. über die Hauptthreads runterladen, nicht bei Hans-Peter-Horst-Kevin's Server...

lg

— geändert am 25.02.2011, 01:39:36

AndroidPit Regeln

Antworten
30
Gelöschter Account
  • Forum-Beiträge: 2.068

25.02.2011, 09:19:20 via Website

Das Risiko ist real! Und zwar nicht nur durch Custom-ROMs sondern auch durch AddOns und Apps!

Für den PC gab es in den späten 90ern die Powertools, welche auf Zeitschriften-CDs verteilt wurden. "Entwickler" waren zwei Schüler. In Anführungsstrichen deshalb, weil sie nur einen Baukasten benutzt hatten und nicht wirklich programmieren konnten.

Die Powertools boten nette Werkzeuge für Windows an. Im Hintergrund schauten sie jedoch, ob die T-Online-Software installiert war und kopierten die Datei mit den Zugangsdaten und die mit den TANs an die Schüler. Diese hätten sie nur an die entsprechende Stelle in der eigenen Installation kopieren müssen. Ein Entschlüsseln war nicht nötig. Aber sie sind mit den Dateien zur c't von Heise-Verlag gegangen. Sie wollten zeigen, wie einfach es sein kann.

Sicher auch ein Mitverschulden von T-Online, dass immer der gleiche Schlüssel verwendet wurde, aber Fehler werden wiederholt. Selbst von denselben Personen.

Das gleiche funktioniert auch auf Smartphones. Und zwar bei allem, was installiert werden kann. Auch mit Sandbox-Konzept. Denn dass das oft nicht sicher funktioniert und Hintertürchen bietet, wurde schon mehrfach nachgewiesen. Cloud-Dienste wie Dropbox verschärfen das Risiko zusätzlich. Durch geschickte Verbindung von Cloud und Lücken mit netten Funktionen werden wir noch viele Probleme bekommen! Soweit lehne ich mich ohne aus dem Fenster!

Selbst ein angeblich geringes Risiko bei bekannten ROMs, Apps etc. ist blauäugig. Hätte ich Betrug vor, würde ich mir auch erst Vertrauen aufbauen. Außerdem kann eine Entwicklung auch an andere Personen abgegeben werden, die weniger rechtschaffend sind wie der ursprüngliche Entwickler.

Der einzige Vorteil ist, dass durch die große, aktive Community so etwas schnell bekannt werden kann. Aber das hilft denen wenig, die zu den Early Birds gehören.

Trotz dieses Risikos, nutze ich Android und werde bei Android bleiben.
Trotz dieses Risikos, nutze ich eine Custom-ROM. Konsequent wäre, sie nicht zu nutzen.

Das Leben ist eben lebensgefährlich. Man muss ein wenig aufpassen und nicht jedem Hype blind folgen. Dann ist man zwar noch lange nicht sicher vor Betrug, aber man begrenzt das Risiko.

Die Tatsache, dass ich paranoid bin, heißt noch lange nicht, sie seien nicht hinter mir her!

Antworten
Bastian Siewers 66
Bastian Siewers
  • Forum-Beiträge: 9.729

25.02.2011, 10:47:59 via Website

Sei mir nicht böse, aber wenn ich selber so denken würde und konsequent wäre, müsste ich jetzt sofort mein Handy und meinen PC ausschalten und am Besten noch gar nicht erst vor die Tür gehen. :P

Nein jetzt mal ehrlich, natürlich bergen Custom Roms und auch Apps ein gewisses Risiko. Aber jetzt von vornherein davon auszugehen bzw. damit bei jeder App zu rechnen, wäre etwas übertrieben..

Liebe Grüße, Bastian
Die Regeln | Die Moderatoren und Admins | Screenshots richtig posten

Christian Brüggemann

Antworten
30
Gelöschter Account
  • Forum-Beiträge: 2.068

25.02.2011, 11:59:27 via App

Und wenn Du über die Straße gehst, schaust Du auch nicht rechts und links? Und Kindern sagst Du, sie brauchen nicht aufpassen, weil es immer weniger Verkehrstote gibt?

Das Risiko gibt es permanent und allein das Wissen darum sollte das Handeln beeinflussen.

Ich nutze ja selbst eine Custom-ROM.

Die Tatsache, dass ich paranoid bin, heißt noch lange nicht, sie seien nicht hinter mir her!

Antworten
Bastian Siewers 66
Bastian Siewers
  • Forum-Beiträge: 9.729

25.02.2011, 13:06:47 via Website

Wann habe ich das denn bitte gesagt? Dein Beispiel auf meine Aussage bezogen, würde bedeuten, dass ich über keinerlei Straßen mehr gehe, weil mich ja jemand anfahren könnte.
Und natürlich muss man vorher überlegen, was man macht und was nicht. Aber ist das in irgendeiner Art und Weise etwas neues?

Liebe Grüße, Bastian
Die Regeln | Die Moderatoren und Admins | Screenshots richtig posten

Antworten
30
Gelöschter Account
  • Forum-Beiträge: 2.068

25.02.2011, 13:32:12 via Website

Bastian S.
Wann habe ich das denn bitte gesagt?
Du hast gesagt:
Aber jetzt von vornherein davon auszugehen bzw. damit bei jeder App zu rechnen, wäre etwas übertrieben..

Darauf habe ich mein Beispiel mit der Straße bezogen. Denn man sollte sehr wohl erst mal die Risiken einschätzen. Genauso wie beim Überqueren der Straße.

Bastian S.
Dein Beispiel auf meine Aussage bezogen, würde bedeuten, dass ich über keinerlei Straßen mehr gehe, weil mich ja jemand anfahren könnte.
Und natürlich muss man vorher überlegen, was man macht und was nicht. Aber ist das in irgendeiner Art und Weise etwas neues?
Ich weiß nicht ob Du diese Sätze von mir gelesen hast:
Das Leben ist eben lebensgefährlich. Man muss ein wenig aufpassen und nicht jedem Hype blind folgen. Dann ist man zwar noch lange nicht sicher vor Betrug, aber man begrenzt das Risiko.

Was für Dich vollkommen selbstverständlich ist, ist für die wenigsten Smartphone-User genauso selbstverständlich. Deshalb mache ich auf die Risiken aufmerksam, wenn jemand eine Frage dazu stellt.

Ich bin fest davon überzeugt, dass Smartphones das WIndows von morgen werden können, was Viren und Trojaner angeht. Und die Methoden werden immer perfider!

Die Tatsache, dass ich paranoid bin, heißt noch lange nicht, sie seien nicht hinter mir her!

Antworten
3
Gelöschter Account
  • Forum-Beiträge: 9

26.02.2011, 02:07:27 via Website

Oh, da kam ja ganz schön was zusammen ;)...

@ Christian: Stimmt, das bringt einen gewissen Sicherheitsgewinn, aber auch da gilt wahrscheinlich, dass selbst bei Cyanogenmod niemand den kompletten Code durchsieht, um ihn auf eventuell versteckte Funktionen zu prüfen...

@ Ralph: Ja du hast in deinem ersten Posting recht, ich würde mich auch erst eine große "Anhängerschar" verschaffen, die mir vertraut, und dann bei einem kleinen Update irgendwas unterschieben...

Nur, was bleibt einem dann übrig? Vertrauen kann dann nur dem ungerooteten Stock ROM ohne jegliche Zusatzapp. Sobald ich irgendwas aus dem Android Market herunterlade, laufe ich Gefahr, mir etwas einzufangen. In dem Punkt war ich vorher mit meinem iPhone wahrscheinlich etwas besser dran (auch wenn ich nie wieder ein iOS Gerät haben möchte!)...

Ich bin jedenfalls wieder zurück zu Leedroid 2.3 gewechselt, das scheint ja von endlos vielen Nutzern verwendet zu werden...das verschafft mir zumindest eine gewisse Sicherheit...glaub ich zumindest.

Antworten