Ah ja, da isser ja wieder, der eifrig an seinem Image als Jungstar der deutschen Informatik feilende Herr Professor auf Lebenszeit.
Aus den Medien ist er uns auch bekannt als der, der letztes Jahr mit seiner unter massiver Politik-Unterstützung in die Medien gepushten X-Pire-Luftnummer so grandios auf die Schnauze gefallen ist...
Frei nach dem Motto: "Ich bin Professor, ich lerne nicht aus meinen Fehlern, ich erkläre sie zum Standard!" zäumt er das Pferd nochmal von hinten auf. Diesmal, indem er Android "sicherer" machen will, indem er Apps modifiziert.
Hach, wie innovativ! Nur: die Idee ist ein alter Hut. Es gibt längst Apps, die anderen Apps die Rechte entziehen. Und auch die entsprechenden schlechten Erfahrungen dazu: Patchen bzw. Einschränken der Rechte einer App ändert deren Ausführungsverhalten erheblich und sorgt bestenfalls für merkwürdiges Verhalten, schlimmstenfalls für Abstürze (die dann natürlich den App-Entwicklern in die Schuhe geschoben werden, denn das Supergenie Backes ist ja über Fehler per Definition erhaben, siehe oben).
Dabei gibt es längst funktionierende Alternativen. Eine erprobte Methode, sich vor unerwünschtem Datenklau abzusichern, besteht aus nur zwei Schritten: - DroidWall installieren (das ist ein GUI für die iptables-Firewall im Linux-Kernel) und nur den wenigen Apps Internet-Zugriff geben, die das unbedingt benötigen (Browser, Mail-Client, etc.). - /usr/local/bin/brain beim Installieren einer App anwerfen und sich bei den erforderlichen App-Rechten anschauen, ob sie aufs SMS- oder Telefon-API zugreifen wollen, ohne dass sich dafür eine Notwendigkeit ergibt. Diese dann einfach überhaupt nicht installieren - so wichtig können die gar nicht sein.
Somit kann man ruhig Apps ausprobieren bzw. auch dauerhaft verwenden, ohne dass einem etwas gestohlen wird. Mangels Internetverbindung können sie lokal ins Adressbuch usw. reinschauen, so oft sie wollen, sie können ihre potenziell böswilligen Autoren ja nie kontaktieren. Nebenbei sieht man auch keinerlei Werbeienblendungen mehr und wird entsprechend auch nicht getrackt.
Zum Gesamteindruck der Backes-App passt auch, dass diese kein Open Source ist (ooch, Geschäftsgeheimnis, natürlich!) und in diesem sensiblen Bereich somit per Definition nicht vertrauenswürdig ist - im Gegenteil: wer weiß, mit wem diese kommerziell ausgerichtete Spin-Off-Firma diskret zusammenarbeitet (oder das in Zukunft tun wird, wenn nur die Kohle stimmt)? Was wird beim Verändern des Bytecodes noch alles injiziert?
Ach so, es handelt sich ja um ein Rundum-Sorglos-Paket, das ist der Anwender ja vom Virenscanner unter Windows gewohnt, der ihm seit jeher dieses wohlige Pseudo-Sicherheitsgefühl vorgaukelt. Mein Gott, Markus, du Verschwörungstheoretiker! Man muss da doch nicht reinschauen können, Backes' "Experten" kümmern sich ja altruistisch um uns!
Na ja, er selbst wohl eher nicht: "Mein Tagesablauf besteht – neben der Beantwortung von E-Mails – aus Meetings und Teamwork. Dazu gehören Gespräche mit den Medien und Ministerien, mit anderen Forschern oder Studenten." Alles klar?
Abschließend noch zwei Links zu diesem Herrn, um das Bild abzurunden: http://www.forschungsmafia.de/blog/2011/02/19/noch-ein-lacher-zu-x-pire-und-professor-backes-gefallig/ http://www.danisch.de/blog/2011/01/05/idiotische-kryptographie-made-in-germany/
Ich kenne dessen biografie nicht so gut wie du, aber wo ich Dir zu 1000% recht gebe ist: Sicherheitstechniken haben oss zu sein, sogar der Dinosaurier NSA hat das schmerzhaft erfahren müssen.
Und unterm Strich, was genau ist jetzt der Kritikpunkt? Es ist nicht Open Source. Das ist der größte Teil der anderen Software, die die meisten auf dem Handy haben auch nicht.
Die Idee ist ehrlich gut, eine funktionierende Alternative ohne root ist mir nicht bekannt.
Lies' mal folgendem Thread zum Thema "funktioniert": http://www.heise.de/newsticker/foren/S-Wie-updated-man-dann-gesperrte-Apps/forum-232503/msg-22072269/read/
Und zum Thema, warum eine derartige Software Open Source sein muss, um ihr vertrauen zu können, habe ich mich eigentlich sehr deutlich geäußert. Die Manipulation anderer Apps birgt ein ganz anderes Gefahrenpotenzial als das Ausführen einer einzelnen App.
Ganz ehrlich, in der verlorenen Verlinkung im Playstore seh ich nicht wirklich ein Problem. Ob die Software selbst nun oss ist, oder nicht, ist auch eher zweitrangig. Das einzige, was nachvollziehbar sein sollte, ist die Veränderung im Bytecode der apk.
Ich persönlich finde die Idee wirklich genial. Natürlich hätte ich liebt eine oss-Lösung. Die gibt es aber leider nicht. Ich hab auch keinen Bock, mein Handy zu rooten, was es ja auch nicht unbedingt sicherer macht. (hat sich jemand schon mal den Quellcode der ganzen oss-sicherheits-apps ansehen und auch verstanden, oder wiegt man sich lieber im "oss ist per default sicherer")
Ach, das ist doch dieser »Ich schau mal mit einem Teleskop durch dein Fenster und such irgendwas, wo sich dein Bildschirm spiegelt«- und »Zero Knwoledge Proof«-Backes?
Genau der .... Hab auch des öfteren mal überlegt, irgendwas nutzloses - aber niemanden schadet - zu programmieren und über die Medien zu puschen, hauptsache wirkt und klingt g'scheit und Kohle kommt durch nichtsaussagende/inhaltslose Interviews und Publikationen rein. Da ich aber kein Prof. im Namen habe, wird wohl nichts d'raus. Scheint immerhin die Mindestvoraussetzung zu sein.
Wegen jedem Furz gleich zu den Medien zu rennen gehört leider mittlerweile zum wissenschaftlichen Alltag. Man hat ja Fördergeleder bekommen und muss jetzt rechtfertigen, diese auch sinnvoll angelegt zu haben. Durch einen Auftritt in den Medien unterstreicht man halt die Alltagstauglichkeit der Forschung - scheiss egal ob's stimmt oder nicht. Der Steuerzahler soll dann halt sehen, dass Forschung finanziert durch sein Geld doch sinnvoll und nützlich sein kann.
Ich stimme dir zu, für eine feingliederige Rechtevergabe - nur Zugriff auf bestimmte Ressourcen - könnte ja vorhandene Kernel-Funktionalität (z.B. SElinux oder AppArmor) nutzen. Alternativ könnte man auch Dalvik selbst um die entsprechende Funktionalität erweitern.
Das beschriebene Konzept erscheint mir wie der zwanghafte Versuch, eine Anwendung für Backes' Recompiler zu finden. Es war schon letztes Jahr völliger Käse und wird auch nächstes Jahr noch völliger Käse sein. In einem ordentlichem System patched man nicht auf Bytecodeebene herum, da werden die Sources gepatched. Wozu ist Android denn quelloffen?
Wenn eine App Käse/böswillig ist, installier ich sie nicht (oder nutz Bordmittel). Ist doch irgendwie hinten-durchs-Knie-ins-Auge, "böse Apps" zu installieren und ihnen dann per "guter App" zu sagen, wie sie sich verhalten dürfen.
Klingt definitiv nicht nach einem ordentlichen Konzept, wie es Linux ja eigentlich vorsieht.
Hallo, prinzipiell gebe ich euch recht! Aber nicht jeder will sich aufgrund seiner "Linux-Liebe" an seinem Handy mit vermutlich böswilligen Apps auseinandersetzen. Es soll funktionieren und nicht meine Privatsphäre bedrohen! Und wenn die Nutzerzahlen, des darauf angewiesenen Konzepts - Android -, sinken, dann ist vielleicht auch google dazu bereit endlich ein sinnvolles Sicherheitskonzept zu entwickeln.
Ah ja, da isser ja wieder, der eifrig an seinem Image als Jungstar der deutschen Informatik feilende Herr Professor auf Lebenszeit.
Aus den Medien ist er uns auch bekannt als der, der letztes Jahr mit seiner unter massiver Politik-Unterstützung in die Medien gepushten X-Pire-Luftnummer so grandios auf die Schnauze gefallen ist...
Frei nach dem Motto: "Ich bin Professor, ich lerne nicht aus meinen Fehlern, ich erkläre sie zum Standard!" zäumt er das Pferd nochmal von hinten auf. Diesmal, indem er Android "sicherer" machen will, indem er Apps modifiziert.
Hach, wie innovativ! Nur: die Idee ist ein alter Hut. Es gibt längst Apps, die anderen Apps die Rechte entziehen. Und auch die entsprechenden schlechten Erfahrungen dazu: Patchen bzw. Einschränken der Rechte einer App ändert deren Ausführungsverhalten erheblich und sorgt bestenfalls für merkwürdiges Verhalten, schlimmstenfalls für Abstürze (die dann natürlich den App-Entwicklern in die Schuhe geschoben werden, denn das Supergenie Backes ist ja über Fehler per Definition erhaben, siehe oben).
Dabei gibt es längst funktionierende Alternativen. Eine erprobte Methode, sich vor unerwünschtem Datenklau abzusichern, besteht aus nur zwei Schritten:
- DroidWall installieren (das ist ein GUI für die iptables-Firewall im Linux-Kernel) und nur den wenigen Apps Internet-Zugriff geben, die das unbedingt benötigen (Browser, Mail-Client, etc.).
- /usr/local/bin/brain beim Installieren einer App anwerfen und sich bei den erforderlichen App-Rechten anschauen, ob sie aufs SMS- oder Telefon-API zugreifen wollen, ohne dass sich dafür eine Notwendigkeit ergibt. Diese dann einfach überhaupt nicht installieren - so wichtig können die gar nicht sein.
Somit kann man ruhig Apps ausprobieren bzw. auch dauerhaft verwenden, ohne dass einem etwas gestohlen wird. Mangels Internetverbindung können sie lokal ins Adressbuch usw. reinschauen, so oft sie wollen, sie können ihre potenziell böswilligen Autoren ja nie kontaktieren. Nebenbei sieht man auch keinerlei Werbeienblendungen mehr und wird entsprechend auch nicht getrackt.
Zum Gesamteindruck der Backes-App passt auch, dass diese kein Open Source ist (ooch, Geschäftsgeheimnis, natürlich!) und in diesem sensiblen Bereich somit per Definition nicht vertrauenswürdig ist - im Gegenteil: wer weiß, mit wem diese kommerziell ausgerichtete Spin-Off-Firma diskret zusammenarbeitet (oder das in Zukunft tun wird, wenn nur die Kohle stimmt)? Was wird beim Verändern des Bytecodes noch alles injiziert?
Ach so, es handelt sich ja um ein Rundum-Sorglos-Paket, das ist der Anwender ja vom Virenscanner unter Windows gewohnt, der ihm seit jeher dieses wohlige Pseudo-Sicherheitsgefühl vorgaukelt. Mein Gott, Markus, du Verschwörungstheoretiker! Man muss da doch nicht reinschauen können, Backes' "Experten" kümmern sich ja altruistisch um uns!
Na ja, er selbst wohl eher nicht: "Mein Tagesablauf besteht – neben der Beantwortung von E-Mails – aus Meetings und Teamwork. Dazu gehören Gespräche mit den Medien und Ministerien, mit anderen Forschern oder Studenten." Alles klar?
Abschließend noch zwei Links zu diesem Herrn, um das Bild abzurunden:
http://www.forschungsmafia.de/blog/2011/02/19/noch-ein-lacher-zu-x-pire-und-professor-backes-gefallig/
http://www.danisch.de/blog/2011/01/05/idiotische-kryptographie-made-in-germany/
Ich kenne dessen biografie nicht so gut wie du, aber wo ich Dir zu 1000% recht gebe ist:
Sicherheitstechniken haben oss zu sein, sogar der Dinosaurier NSA hat das schmerzhaft erfahren müssen.
Und unterm Strich, was genau ist jetzt der Kritikpunkt? Es ist nicht Open Source. Das ist der größte Teil der anderen Software, die die meisten auf dem Handy haben auch nicht.
Die Idee ist ehrlich gut, eine funktionierende Alternative ohne root ist mir nicht bekannt.
Gruss
Paulchen Power
Lies' mal folgendem Thread zum Thema "funktioniert":
http://www.heise.de/newsticker/foren/S-Wie-updated-man-dann-gesperrte-Apps/forum-232503/msg-22072269/read/
Und zum Thema, warum eine derartige Software Open Source sein muss, um ihr vertrauen zu können, habe ich mich eigentlich sehr deutlich geäußert. Die Manipulation anderer Apps birgt ein ganz anderes Gefahrenpotenzial als das Ausführen einer einzelnen App.
Ganz ehrlich, in der verlorenen Verlinkung im Playstore seh ich nicht wirklich ein Problem. Ob die Software selbst nun oss ist, oder nicht, ist auch eher zweitrangig.
Das einzige, was nachvollziehbar sein sollte, ist die Veränderung im Bytecode der apk.
Ich persönlich finde die Idee wirklich genial. Natürlich hätte ich liebt eine oss-Lösung. Die gibt es aber leider nicht. Ich hab auch keinen Bock, mein Handy zu rooten, was es ja auch nicht unbedingt sicherer macht. (hat sich jemand schon mal den Quellcode der ganzen oss-sicherheits-apps ansehen und auch verstanden, oder wiegt man sich lieber im "oss ist per default sicherer")
Gruss
Paulchen Power
Ach, das ist doch dieser »Ich schau mal mit einem Teleskop durch dein Fenster und such irgendwas, wo sich dein Bildschirm spiegelt«- und »Zero Knwoledge Proof«-Backes?
Grueße
Ignatz
Genau der ....
Hab auch des öfteren mal überlegt, irgendwas nutzloses - aber niemanden schadet - zu programmieren und über die Medien zu puschen, hauptsache wirkt und klingt g'scheit und Kohle kommt durch nichtsaussagende/inhaltslose Interviews und Publikationen rein.
Da ich aber kein Prof. im Namen habe, wird wohl nichts d'raus. Scheint immerhin die Mindestvoraussetzung zu sein.
Wegen jedem Furz gleich zu den Medien zu rennen gehört leider mittlerweile zum wissenschaftlichen Alltag. Man hat ja Fördergeleder bekommen und muss jetzt rechtfertigen, diese auch sinnvoll angelegt zu haben. Durch einen Auftritt in den Medien unterstreicht man halt die Alltagstauglichkeit der Forschung - scheiss egal ob's stimmt oder nicht. Der Steuerzahler soll dann halt sehen, dass Forschung finanziert durch sein Geld doch sinnvoll und nützlich sein kann.
Ich stimme dir zu, für eine feingliederige Rechtevergabe - nur Zugriff auf bestimmte Ressourcen - könnte ja vorhandene Kernel-Funktionalität (z.B. SElinux oder AppArmor) nutzen. Alternativ könnte man auch Dalvik selbst um die entsprechende Funktionalität erweitern.
Das beschriebene Konzept erscheint mir wie der zwanghafte Versuch, eine Anwendung für Backes' Recompiler zu finden. Es war schon letztes Jahr völliger Käse und wird auch nächstes Jahr noch völliger Käse sein. In einem ordentlichem System patched man nicht auf Bytecodeebene herum, da werden die Sources gepatched. Wozu ist Android denn quelloffen?
Genau - das hab ich mir spontan auch gedacht.
Wenn eine App Käse/böswillig ist, installier ich sie nicht (oder nutz Bordmittel). Ist doch irgendwie hinten-durchs-Knie-ins-Auge, "böse Apps" zu installieren und ihnen dann per "guter App" zu sagen, wie sie sich verhalten dürfen.
Klingt definitiv nicht nach einem ordentlichen Konzept, wie es Linux ja eigentlich vorsieht.
pengux
Hallo,
prinzipiell gebe ich euch recht! Aber nicht jeder will sich aufgrund seiner "Linux-Liebe" an seinem Handy mit vermutlich böswilligen Apps auseinandersetzen. Es soll funktionieren und nicht meine Privatsphäre bedrohen!
Und wenn die Nutzerzahlen, des darauf angewiesenen Konzepts - Android -, sinken, dann ist vielleicht auch google dazu bereit endlich ein sinnvolles Sicherheitskonzept zu entwickeln.