Am 2015-09-15 um 23:51 schrieb Urs Schulz:
- Du unterbewertest meiner Meinung nach die Update-Problematik. Viele
sorglose Nutzer updaten ihre Geräte garnicht oder nur sehr selten - falls überhaupt Updates vom Hersteller angeboten werden.
Ich gehe davon aus, dass Nutzer, die sich für GPG interessieren, nicht zu diesen sorglosen Nutzern gehören.
Allgemein ist das mit den Updates unter Android ein Katastrophe, da stimme ich zu. Die sollen zwar jetzt monatlich kommen, aber ich weiß nicht wie ernst die Hersteller das nehmen. Vielleicht nehmen sie es ernster wenn Leute ihre 1.5 Jahre alten ungepatchten Smartphones als Gewährleistungsfall zurückgeben und sich vom zurückerhaltenen Geld einfach neue kaufen.
Und dann gibt es natürlich haufenweise Benutzer, die sich wild irgendwelche tollen Apps einfangen und denen frei heraus nahezu vollen Zugriff gewähren.
Nutzer machen das gleiche auch auf PCs. Bei Linux wird es durch das zentrale Paketmanagement zumindest etwas entschärft, auf Win und Mac hingegen... oh weh. Selbst bei erfahrenen Nutzern. Und mal Hand aufs Herz: Wer kontrolliert die Makefiles von jedem Open-Source-Projekt, was er auf seinem Rechner kompiliert?
Da kommt das Sandboxing auf Smartphones ins Spiel. Ohne eine local privilege escalation kommt eine normale App, egal welche Berechtigungen der Nutzer abnickt, nicht an die in einer anderen App gespeicherten GPG-Keys ran (außer natürlich der Nutzer hat das Gerät gerootet und gibt der App root...).
Klar, eine richtig bösartige App könnte LPE machen, aber das deckt z. B. den Fall einer mies geschriebenen App mit einem file disclosure Problem ab und macht Angriffe die z. B. mit einem Browser-Exploit anfangen zumindest mal schwieriger.
Was Firmware-Hintertüren angeht, schau dir mal Intel AMT an und überlege was für ein Potential für Hintertüren da drin steckt, sowohl für absichtlich oder einfach durch Schlamperei eingebaute.
So traurig es auch ist, wenn ein Geheimdienst auch nur mäßig signifikante Resourcen einsetzen will, um (unbemerkt) gezielt an *deine* Daten zu kommen, wird er es erfolgreich tun. Was Verschlüsselung von in-flight-Nachrichten erschwert ist die Massenüberwachung, und auch da bleiben die Metadaten offen, die vermutlich mindestens genauso interessant sind wie die Inhalte.
Was auch noch dazu kommt, ist, dass du kein root auf deinen eigenen Geräten bekommst um im Zweifel Dinge zu fixen.
Die Nexus-Geräte haben dokumentierte Wege um da dran zu kommen.
Gruß Jan