Sind Firmware-Updates sicher?

Jetzt, da Handys für Zahlungssysteme verwendet werden, mache ich mir mehr Sorgen um die Sicherheit meines Android-Geräts.

Ich wäre lieber nicht der erste, der anfällig für bösartigen Code ist, der zufällig in das Firmware-Update aufgenommen wurde, das der Netzbetreiber auf meinem Android-Handy installiert.

Ich gehe davon aus, dass sie gelegentlich Fixes / Patches über Funk (OTA) senden, ohne dass ich vor der Installation eine Genehmigung erteilen muss - vielleicht irre ich mich jedoch.

Sind Firmware-Updates sicher und ich bin nur paranoid? Gibt es eine Möglichkeit, die sofortige Installation neuer Firmware-Updates zu verhindern, wenn dies bei allen anderen der Fall ist?

updates security

— Stephen Gornick
quelle

Um Manipulationen zu erkennen, werden Firmware-Updates signiert und (wenn Sie das mit dem Telefon gelieferte Wiederherstellungsprogramm verwenden) die Signatur vor der Installation überprüft. Nach einer obligatorischen Bestätigung von Ihnen, dass die Installation gestartet werden soll, überprüft das Wiederherstellungsprogramm nach einem Neustart zuerst diese Signatur und installiert erst dann die neue Firmware.

Beachten Sie, dass Sie immer zur Eingabe eines ROM-Updates aufgefordert werden. Neben der Beseitigung von Sicherheitsbedenken und der besseren Kontrolle über das Verfahren haben Sie folgende Möglichkeiten:

Stellen Sie sicher, dass der Akku aufgeladen ist oder das Telefon an das Stromnetz angeschlossen ist.
Sichern Sie alle Daten, von denen Sie befürchten, dass sie verloren gehen, falls das Upgrade fehlschlägt.
Informieren Sie sich ein wenig über die Verbesserungen in dieser Firmware-Version und entscheiden Sie, ob sich Ihre Zeit lohnt.

Ja, Firmware-Updates sind sicher, und selbst wenn Sie Bedenken haben, wird ein Update auf das tatsächliche Betriebssystem ohne Ihre Bestätigung nicht installiert.

— ctt
quelle

Ok, ich habe also die Möglichkeit, ob ich eine Binärdatei mit einer Signatur installieren kann, die sicherstellt, dass sie wirklich von jemandem stammt (LG oder vom Netzbetreiber?). Das wird mich zumindest davon abhalten, als erster ein Problem zu entdecken. Auf meinem Telefon befinden sich Apps und Inhalte der Marke Metro PCS. Bedeutet das, dass die Mitarbeiter von Metro PCS das Firmware-Image erstellt haben, oder stammt die Firmware nur vom Hersteller (in meinem Fall LG)?

— Stephen Gornick

Ja. Sie haben immer die Möglichkeit, ein Update zu installieren, wenn es für Ihr Telefon verfügbar ist. Wenn Sie nichts Lustiges tun (z. B. Ihren Bootloader entsperren), installieren Sie ein Update direkt von Ihrer Telefongesellschaft, solange die vorhandene Firmware von Ihrer Telefongesellschaft stammt. Ich mache diese Unterscheidung, weil einige Handys wie das Nexus One, das Nexus S und das Galaxy Nexus ihre Updates direkt von Google erhalten.

— ctt

Ich werde dann unmissverständlich feststellen, dass ich einer Binärdatei meiner Mobilfunkfirma nicht vertraue. Blah. Wann wird 100% Open Source für Mobilgeräte verfügbar sein?

— Stephen Gornick

Tatsächlich sind sie gesetzlich verpflichtet, den Großteil des Quellcodes innerhalb kurzer Zeit freizugeben (sprich: vor Ablauf der Zeit: p). Vielleicht möchten Sie auch xda-Entwickler überprüfen, um zu sehen, ob Ihr Bootloader entsperrt werden kann. Wenn dies möglich ist, sollten Sie mit genügend Geduld in der Lage sein, Ihre eigene Version von Android oder Patch in den Fixes zu schreiben, die Sie für wichtig halten. Beachten Sie, dass es niemals 100% Open Source sein wird, da es tatsächlich illegal ist, einige Komponenten in einem Telefon (wie z. B. seine Radios) für bestimmte Aufgaben programmieren zu lassen. Diese Teile werden normalerweise von Herstellern in binärer Form bereitgestellt.

— ctt

Die Updates werden nicht automatisch installiert. Das System benachrichtigt Sie nur, dass das Update verfügbar ist. Sie können sie nach Belieben herunterladen und installieren.

— Roxan
quelle