• Pantherina@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    2
    ·
    edit-2
    10 months ago

    Das Fairphone 4 bietet keine geeigneten Datenschutz-/Sicherheitspatches, was die absolute Mindestanforderung für ein Gerät darstellt.

    https://support.fairphone.com/hc/en-us/articles/4405858220945-FP4-Fairphone-OS-Release-Notes

    Stattdessen wurde der Sicherheitspatch vom November 2022, der am 7. November veröffentlicht werden sollte, am 19. Dezember veröffentlicht. Bedenken Sie, dass sie frühzeitig Zugriff auf diese Sicherheitspatches erhalten, die für GrapheneOS nicht verfügbar sind.

    Bitte beachten Sie, dass die in diesem Patch beschriebenen monatlichen Sicherheitspatches nur eine Teilmenge der Android-Sicherheitspatches sind. Android unterteilt die Sicherheitspatches in die im Android Security Bulletin aufgeführten obligatorischen Patches und die im Pixel Update Bulletin aufgeführten empfohlenen Patches. Die neueste monatliche, vierteljährliche oder jährliche Android-Version enthält die empfohlenen Patches. Die obligatorischen Patches werden auf die älteren Versionen zurückportiert.

    Dies ist beispielsweise die obligatorische Teilmenge des Dezember-Sicherheitspatches, der nicht für das Fairphone 4 ausgeliefert wurde:

    https://source.android.com/docs/security/bulletin/2022-12-01

    Die meisten Patches vom 05.12.2022 erfordern die Veröffentlichung eines Updates durch den Anbieter.

    Dies ist das Pixel-Update-Bulletin für Dezember 2022:

    https://source.android.com/docs/security/bulletin/pixel/2022-12-01

    Die ersten Abschnitte, die nicht als Pixel gekennzeichnet sind, sind empfohlene Patches für andere Geräte. Der als Pixel gekennzeichnete Abschnitt gilt weitgehend für andere Geräte mit einem Snapdragon-SoC, Exynos-SoC oder einem separaten Qualcomm/Samsung-Mobilfunkmodem. Die Pixel-Update-Bulletins stellen viel mehr Patches bereit, als andere Anbieter reparieren müssen, um die neueste Patch-Stufe zu erhalten. Das bedeutet, dass der Patch-Level anderswo nicht so viel bedeutet, wie Sie denken, und dass er bei alternativen Betriebssystemen fast nichts bedeutet, wenn er falsch eingestellt wird.

    Soweit ich das beurteilen kann, verfügt das Fairphone 4 über ein sicheres Element. Der Qualcomm SM7225-Chip, den das Telefon verwendet, gibt an, dass es über eine „vertrauenswürdige Ausführungsumgebung“, „Plattformsicherheitsgrundlagen“, „sichere Verarbeitungseinheit“ und „Typ-1-Hypervisor“ verfügt. Dies sind leicht unterschiedliche Terminologien, scheinen aber alles zu sein Graphen wird immer benötigt.

    TrustZone, Virtualisierung, die von uns nicht genutzt werden kann (wir können die Virtualisierungsunterstützung auf dem Pixel 6 und höher nutzen, aber nicht die Snapdragon-Unterstützung, da diese für Qualcomm ist und von einem OEM für ihre jeweilige Verwendung lizenziert werden muss) sowie Marketing-Schlagworte sind nicht sicher Element. Qualcomm SPU ist ein sicheres Element, implementiert jedoch nicht die erforderliche Funktionalität. Die von TEE (TrustZone, kein sicheres Element) und SPU implementierte Funktionalität hängt vom OEM ab. Fairphone bietet nicht die erwartete Funktionalität. Qualcomm bietet es nicht sofort an.

    Ich habe einen kurzen Blick auf die Exploit-Offenlegungen von Qualcomm für das SOC geworfen, und zugegebenermaßen gibt es viele, aber alles, was ich finden konnte, waren Firmware-Exploits, die vermutlich gepatcht wurden. Ich konnte nichts im Zusammenhang mit grundlegenden Problemen mit der zugrunde liegenden Hardware finden, die sie unsicher machen würden. Würde es Ihnen etwas ausmachen, auf alle Ihnen bekannten aktiven Hardware-Exploits im Qualcomm SM7225-Chip zu verlinken?

    Qualcomm- und Android-Sicherheitsbulletins werden monatlich veröffentlicht. Normalerweise gibt es jeden Monat Firmware-Sicherheitspatches. In der Regel gibt es auch Patches für die proprietären Bibliotheken von Qualcomm. Auf dem Fairphone 4 würde die gesamte Userspace-SoC-Unterstützung für Android 11 gelten, und obwohl sie für Android 13 noch nutzbar ist, ist sie überhaupt nicht ideal und mit großen Einschränkungen.

    Der Update-Zeitplan des Fairphone sollte für Diskussionen über das Potenzial von Graphen keine Rolle spielen, da sowieso die gesamte Software ersetzt würde, außer vielleicht der Firmware, aber wenn die Patches verfügbar sind, sollte es einfach sein, sie vom Upstream mit Betriebssystemunterstützung anzuwenden . Ich habe übrigens keine Beweise dafür gesehen, dass das Fairphone 4 spätestens sicherheitskritische Firmware-Updates ausgeliefert hat, aber ich werde es nicht bestreiten, da es sowieso irrelevant wäre.

    Das ist überhaupt nicht richtig. Von ihnen würde die Firmware stammen, die einen wesentlichen Teil der Sicherheitspatches ausmacht und nicht weniger wichtig ist. Auch die Software würde größtenteils von ihnen stammen, unabhängig davon, ob es sich bei den Komponenten um Open-Source- oder Closed-Source-Komponenten handelt.

    Der Beweis dafür, dass sie Sicherheitspatches verspätet versendet haben, finden Sie direkt auf ihrer Website. Sie versenden jeden monatlichen Android-Sicherheitspatch mit erheblicher Verspätung, und dabei handelt es sich nur um die obligatorischen Android-Sicherheitspatches, nicht um die empfohlenen Patches. Bei den Android-Sicherheitspatches handelt es sich lediglich um eine Baseline und sie enthalten oft Monate später oder länger Upstream-Korrekturen. Die rechtzeitige Lieferung dieser Patches ist eine niedrige und keine hohe Hürde, insbesondere wenn ein Anbieter nur die obligatorischen Patches und nicht alle empfohlenen Patches liefert. Fairphone fehlt buchstäblich jahrelang an empfohlenen Patches, da es auf Android 11 basiert. Dies ist jedoch wichtig, wenn Sie ein anderes Betriebssystem verwenden, da Sie über Treble weiterhin den Code des Herstellers verwenden. Da der Code ihres Anbieters nicht auf Android 13 QPR1 aktualisiert ist, ist die einfachste Möglichkeit zur Unterstützung die Verwendung von Treble. Dies bedeutet, dass der Anbieterteil des Benutzerbereichs über Android 11 hinaus keine empfohlenen Patches und Härtungen aufweist. Auf Pixeln können wir viele davon erstellen Wir liefern den Hersteller selbst, da er mit der Betriebssystemversion übereinstimmt, und wir können Komponenten von Fall zu Fall frei austauschen.

    Ich kann keine Quellen für Exploit-Offenlegungen im Zusammenhang mit der sicheren Boot-Implementierung von Fairphone finden. Möglicherweise beziehen Sie sich auf die allgemeine Fehlbezeichnung, dass „andere Geräte als Pixel das erneute Sperren des Bootloaders nicht unterstützen“. Wenn dies der Fall ist, sollte darauf hingewiesen werden, dass Fairphone 4 dies tut. Wenn es noch etwas Spezifisches gibt, verlinken Sie bitte das CVE.

    Ihre verifizierte Boot-Implementierung ist unvollständig und fehlerhaft. Dies wurde von uns und mehreren unabhängigen Suchforschern bestätigt. Das muss funktionieren, damit es relevant ist. Es fehlen auch Funktionen. Den meisten Schwachstellen wird kein CVE zugewiesen, so funktioniert die reale Welt einfach nicht.

    Ich versuche nicht, für Fairphone oder so etwas zu werben, ich kann deren Produkte in meinem Land nicht einmal kaufen und ich habe nur 5 Minuten recherchiert, aber es scheint mir ein absolut gültiger Kandidat zu sein.

    Es handelt sich nicht um einen gültigen Kandidaten, und wie Sie sagten, haben Sie nur 5 Minuten recherchiert. Sie hatten eine Antwort, die Sie wollten, und suchten nach Informationen, um zu bestätigen, was Sie sehen wollten.

    Dieses Telefon entspricht nicht annähernd unseren Anforderungen. Auch der SoC ist alt und hat bereits einen Großteil des 4-Jahres-Garantie-Supports von Qualcomm für den SoC durchlaufen. Vergleichen Sie es mit dem kürzlich eingeführten Pixel 6a mit 5 Jahren Support-Garantie ab Markteinführung. Das bedeutet auch etwas ganz anderes für das Pixel 6a, das jeden monatlichen Sicherheitspatch pünktlich erhält. Außerdem erhält es pünktlich jede monatliche, vierteljährliche und jährliche Veröffentlichung von AOSP, die die empfohlenen Datenschutz-/Sicherheitspatches und andere Verbesserungen enthält. Wir brauchen diese Softwareunterstützung. Wir könnten einige Abstriche machen, würden aber nicht einmal die obligatorischen ASB-Patches jeden Monat fast zwei Monate zu spät versenden.

    Den Menschen etwas zu geben, das als GrapheneOS bezeichnet wird, das aber nicht annähernd die erwarteten Grundlagen bietet, widerspricht unseren Vorstellungen. Wir können dieses Gerät nicht unterstützen und es GrapheneOS nennen.

    • KptnAutismus@lemmy.world
      link
      fedilink
      Deutsch
      arrow-up
      2
      ·
      edit-2
      10 months ago

      klingt nach überarbeiteten software-admin/entwicklern. keine tolle situation, aber einfach lösbar.

      außerdem hänge ich lieber 2 monate hinterher, statt wie manche kollegen seit 3 jahren gar keine mehr gekriegt zu haben.

      • Pantherina@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        1
        ·
        10 months ago

        Logisch, “Android One” von Nokia / HMD Global ist ein Witz.

        Ich weiß nicht ob konsequent ALLE security updates wie GrapheneOS (AOSP und die Pixel patches) jeden Monat zu viel verlagt ist.

        Noch dazu bekommt GrapheneOS wie gesagt keinen früheren Zugriff.