Android rooting, hvem stoler du på ?

Som jeg tidligere har nævnt, stoler jeg ikke en meter på softwaren i min Android telefon.

Leverandøren har fyldt telefonen med skod-apps med Chernobyl permissions og gjort det umuligt for mig at fjerne dem, "for at sikre den konsistente oplevelse" som det udtrykkes.

Som open source forkæmper burde jeg bare downloade hele Android sovsen, læse den igennem, og compilere min egen Android til min egen telefon, men her må jeg desværre indrømme at så meget tid har jeg ikke at bruge på min telefon.

Jeg har googlet lidt rundt og der findes færdige distros til at root'e min telefon, men spørgsmålet er om de er væsentlig mere troværdige end den, i mine øjne, totalt utroværdige leverandør.

Et af mine hovedprincipper når det kommer til computere jeg skal kunne stole på er at der kun kører kode jeg selv har taget stilling til om skal køre og det indebærer naturligvis at der kører så lidt som jeg kan klare mig med.

Valget ser umiddelbart ud til at stå imellem at loade en eller anden custom ROM, eller at nøjes med at "freeze" de applikationer jeg finder usikre.

Det sidste er jeg ikke overbevist om bringer min telefon i en troværdig og brugbar tilstand, så jeg er på jagt efter en god ROM, der ikke er endnu mere fyldt med bloat-ware end leverandørens.

Men hvor(dan) finder man et troværdigt projekt der leverer ROM images til Android telefoner ?

Ja, jeg indrømmer det: Jeg føler mig sgu' lidt gammel lige nu...

phk

Poul-Henning Kamps billede
Poul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.

Kommentarer (79)

Nikolaj Halberg

Det er ikke et spørgsmål om at være paranoid, men et spørgsmål om at være paranoid nok?

Der er 3 ting du skal være opmærksom på mht. at overtage kontrollen med din telefon fra "Den Onde producent™";

1) Du kan roote din telefon, som giver dig midlertidig root/ su adgang til data på telefonen.

2) Du kan lave en ENG S-OFF og skifte bootloader/ recovery så du kan smide en ROM på efter eget valg og få permanent root adgang. Hvis du gør det kan du af gode grunde ikke modtage SPL updates fra producenten, men til gengæld lave fuld backup af din telefon, freeze apps o.s.v.
Der er mange forskellige ASOP distros. CyanogenMod er en af de mere populære, der er dog nogle irriterende småting i forbindelse med kontakt, kaleder widgets og specielt kamera/ videokamera funktionerne er der sjældent gjort noget ved, så de er ofte mindre gode i daglig brug. Den bedste ROM til div. HTC produkter er imo Android Revolution HD. Den findes til følgende telefoner:

HTC Desire HD
HTC Inspire 4G
HTC Incredible S
HTC Evo 3D
HTC Sensation / Sensation XE / Sensation 4G
ASUS Transformer

Den er bygget på de originale producent RUU'er og alt overflødigt er som regel pillet ud og andet sniller kan du som regel freeze uden at få diverse fejl.

3) Du kan lave Radio S-OFF som gør at du kan skifte radio firmware. Radio firmware styrer alt der har med GSM, UTMS, WLAN, GPS o.s.v. at gøre, altså telefonens kommunikation med omverdenen.

Men kig på http://forum.xda-developers.com der kan du finde alt det information du skal bruge.

Poul-Henning Kamp

Android Revolution HD

Se mit problem starter når man så finder en sådan kerne og deres release note/changelog starter:

ROM details:
Fully optimized and tweaked

Det lyder alt for meget som folk der tror blå lysdioder får deres bil til at køre hurtigere og efterlader ikke mig med nogen synderlig lyst til at prøve deres software på en telefon jeg faktisk forventer virker nogenlunde...

Nikolaj Halberg

Ja men så læs anmeldelserne af ARHD.

"Fully optimized and tweaked" betyder bla. at den er zipaligned (http://developer.android.com/guide/developing/tools/zipalign.html) og at en del HTC services er skåret ud/ deaktiveret samt at den er mildt overclocket og med bedre strømstyring en RUU'en.

Jeg har kørt med den ROM i et års tid på min HTC Desire HD og når man smider ARHD på sin telefon, føles det som om man har fået en ny og markant hurtigere telefon i sine hænder. Desuden er den renset for div. HTC bloat- / spyware.

Men jeg vil da opfordre dig til at bruge google noget mere og lave lidt mere research på de ting du brokker dig over, istedet for at sidde på din dertil indrettede og bare være en kritisk gnaven gammel mand ;).

P.S. Undertegnede er også en kritisk gammel gnaven mand, men jeg laver som regel lige lidt research inden jeg kaster eder og forbandelser efter dette og hint ;).

Poul-Henning Kamp

Indrømmet, jeg sidder som regel på min dertil indrettede når jeg laver research, men jeg mener faktisk ikke at du kan tillade dig at beskylde mig for ikke at have lavet research.

Og det er fint at du er glad for den ROM, det bliver jeg måske også hvis jeg prøver den.

Men det gør intet for mit fundamentale problem vedrørende tillid til softwaren i min telefon.

Pt. er mit skud at der er 25% chance for at agenter for den kinesiske stat har backdoor adgang til min telefon hvis de skulle få lyst. Jeg er 75% sikker på at adfærdsdata om mig bliver solgt af enten mit teleselskab eller leverandøren.

Jeg har meget svært ved at se hvorledes disse sandsynligheder nedbringes ved at jeg skifter til software der er skrevet af "mike1986", "Whiskey103" og "Apache14" ?

Hvor er troværdigheden i dette miljø, hvis man ikke engang tør bruge sit eget navn ?

Nikolaj Halberg

Så nu passer min overskrift da vist meget godt takket være dine egne udsagn.

Jeg har tilfældigvis en flyverdragt med tilhørende hat lavet af 2 lags aluminiumsfoile til salg hvis det var noget.

"Pt. er mit skud at der er 25% chance for at agenter for den kinesiske stat har backdoor adgang til min telefon hvis de skulle få lyst. Jeg er 75% sikker på at adfærdsdata om mig bliver solgt af enten mit teleselskab eller leverandøren."

Hvis du er så nervøs for at personer/statsmagter misbruger dine data/ der er backdoors i din telefon så skulle du nok bare holde dig langt væk fra Det Store Internet™ eller udvikle din egen hardware og dit eget Internet som du kan kode og compile dit helt eget smartphone OS til.

"Jeg har meget svært ved at se hvorledes disse sandsynligheder nedbringes ved at jeg skifter til software der er skrevet af "mike1986", "Whiskey103" og "Apache14""

Ej nu må du sgu lige... Nørder har alle dage brugt nick's. Men igen hvis du lige brugte 10 sekunder på Det Store Onde Google™ ville du finde dette: http://forum.xda-developers.com/member.php?u=1631739. Hans rigtige navn er
Michal Banszel, han er fra Polen og du kan evt. kontakte ham personligt her: michal_banszel@wp.pl. Han er en rigtig flink gut og svarer gerne på spørgsmål.

Alternativt kan du købe dig en android smartphone, smide en custom ROM på, kryptere dit microSD kort, låse alle dine appilkationer og bruge TOR browser på din telefon og foretage opkald med VoIP software der kan kryptere samtalen.

Den grad af paranoia (ja ikke betænkeligheder, men paranoia) du her udviser vil jo gøre det 100% umuligt for dig at købe noget som helst udviklet af andre mennesker. Det er en irrationel frygt som er så grel at det er tæt på at jeg vil anbefale dig at søge læge.

Du står jo heller ikke nede i den lokale Elgiganten og udfritter sælgeren om navn, adresse og fødselsdato på den Taiwanske tekniker som har skruet skruerne i dit nye fladskærms TV vel?

Jørgen Ramskov

Det bliver nok svært at finde en ROM som du vil finde troværdig. Dog vil jeg mene at jo mere brugt en ROM er jo større er sandsynligheden for at nogen har tjekket den for bagdøre osv. Derfor vil jeg mene at du bør kigge på CyanogenMod da det så vidt jeg ved, er den mest populære ROM. Omvendt kan man selvfølgeligt også sige at hvis det lykkes nogen at snige en bagdør ind i CyanogenMod ROM'en, så er belønningen også så meget større :)

Ps. i Ice Cream Sandwich skulle det være muligt at slukke for alle de applikationer man ikke vil have kørende: http://www.pocket-lint.com/news/42673/ice-cream-sandwich-disable-google-...

Det hjælper selvfølgeligt ikke dig i din nuværende situation.

Christian Panton

Problemet er primært at det crap som leverandørene vælger at preloade telefonen med. Jeg er gået efter "Google" udgaverne af telefonerne, altså dem som der kommer et standard Android image på, uden alt muligt gøgl.

Det er fx. Nexus One og Nexus S. Det ærgelige er at man skal skifte fysisk hardware for at få noget som ikke opleves som om at det ikke er programmeret af kinesiske teenagere som aldrig har hørt om HCI eller sikkerhed.

Jeg har på fornemmelsen at alle hardware revisioner indeholder enorme mængder lukkede drivere som skifter fra model til model. Der ligger nok det største problem i at udvikle nye ROMs.

Nicolas Østergaard

... Har jeg afprøvet på en SE x10 Mini Pro, og den er blevet hurtigere til daglig. Jeg har ihvertfald tiltro til at den ROM er stabil og ikke indeholder shit, jeg er ikke stødt på noget af det endnu. :P

Om ikke andet har jeg xRecovery på den, så hvis ROM'en begynder at lave numre, er det nemt at få stock'ROM'en tilbage.

Kristian Dalgård

(Hahahaha - "Chernobyl permissions"!)

Cyanogenmod er klart den førende ROM i Android-community'et, hvad der jo giver en del fordele.

Googles tillader ikke andre at distribuere mange af deres bedste programmer - fx Maps - men der findes en god lille pakke til Cyanogenmod indeholdende dem alle, der er så tæt på at være officel, som noget, der ikke er helt lovligt, kan være.

Nikolaj Halberg

Jow jow men nu snakkede vi jo ikke om dien kunder, men om DIN Android telefon ikke?

Der findes nu også en del apps der kan fortælle dig hvad der kører af processer og hvem de snakker med. Selv bruger jeg Autorun Manager (https://market.android.com/details?id=com.rs.autorun) en del til at klipse div. "phone-home" og autostart recievers. "System Tuner" (https://market.android.com/details?id=ccc71.pmw) er et andet godt lille værktøj til at lure hvad der kører af div. skrald på din Android.

Lars Bjerregaard

Kære PH

Jeg er enig i dine betragtninger. Har interesseret mig voldsomt for Android fra starten af, og kørt Android i et par år nu. Den store fordel er, at du får en meget kraftfuld mini-computer i lommen, som man kan hacke på endeløst. Prisen for at Android overhovedet kom på markedet var, at leverandørerne får lov til at "gøre ting". Hvis man ikke vil overgive sig til den helt lukkede fest i Apple eller MS land, så er det desværre nok den realistiske pris der skal betales, som landet nu ligger.

Et lyspunkt er så, at en meget kær feature i nyeste release af Android, Ice Cream Sandwich/4.0, er, at man kan de-aktivere en hvilken som helst app på enheden, inklusive dem som leverandøren har installeret. Det har formentligt været et meget hårdt kompromis mellem Google og leverandørerne, men det går en lang vej mod at addressere dine (og mine) betænkeligheder.

Så lige nu er rooting vejen frem for folk som dig og mig.
Jeg kan varmt anbefale Oxygen ROM, som jeg har kørt et års tid nu på min HTC Desire. Findes også til Nexus One, Nexus S, og Samsung Galaxy SII.
Det er åben sovs, og er en meget lean-mean ROM.

Releases her: http://forum.oxygen.im/viewforum.php?id=7
Forum her: http://forum.oxygen.im/
Sovs her: https://github.com/devnull-project/

Og så er der selvfølgelig den glimrende CyanogenMOD,som også er åben sovs, og understøtter langt flere enheder. Den er dog noget mindre lean-mean end Oxygen, og har derfor også lidt flere issues.

Hvilken enhed har du Poul-Henning?

Min personlige konklusion efter et par år nu er, at jeg i fremtiden formodentligt vil holde mig til "pure Google experience" (aka. Android developer) enheder, såsom Nexus One, Nexus S, og min næste enhed bliver højst sandsynligt Galaxy Nexus, når den nu en gang kommer til Danmark.

Med disse har du max. kontrol, de er udvikler venlige, og du slipper for bloatware fra leverandører. Desuden får du på disse enheder de hurtigste updates til nye Android versioner/bugfixes.

Prøver selv at geare op til noget seriøs udvikling til Android, men har haft nogen tidsproblemer med at komme meget videre end HalloWorld :-)

Android er et seriøst spændende projekt, som er temmeligt unikt i et ellers grimt landskab (set fra en FOSS fyr's udsigtspunkt). Som andre store FOSS projekter er det til tider rodet, frustrerende, fyldt med kompromiser og alskens. Men det er nået meget langt, og fortsætter i et næsten vandvittigt tempo. For mig er der ikke rigtigt noget alternativ.

Jeg har fået et temmeligt omfattende overblik over "Android landskabet" gennem årene, så bare stil dumme spørgsmål, så kan det være jeg kan svare.

Poul-Henning Kamp

Et lyspunkt er så, at en meget kær feature i nyeste release af Android, Ice Cream Sandwich/4.0, er, at man kan de-aktivere en hvilken som helst app på enheden, inklusive dem som leverandøren har installeret.

Jeg er helt enig med dig I at Android er et stort skridt frem i forhold til Jobs Walled Garden på Jesus-fonen, men i guder for et læs lort producenter og teleselskaber vælter ovenpå...

Det er en af de ting der taler lidt imod at roote min Sensation lige nu, den burde få ICS/4 "i starten af 2012" men jeg har en mistanke om at HTC's forretningsmodel bare flytter alt deres spy-/skod-ware dybere ned.

Hvis jeg virkelig gad rode med smart-phones tror jeg også jeg ville gå efter Googles reference modeller, men så meget har jeg ikke planer om at gøre ud af det, jeg vil bare gerne have en telefon med IP connectivitet som jeg kan stole på.

Lars Bjerregaard

Nu får vi se hvordan HTC skruer deres ICS update sammen. Men der er da håb om, at du måske ville kunne de-aktivere alt Sense fuldstændigt, og så køre med en 3-parts launcher, som f.eks. Go Launcher Ex, Zeam, AWD eller Launcher Pro. Under alle omstændigheder offentliggører de kerne-sovsen, så flittige folk kan kigge dem efter i sømmene, og evt. lave en kerne til din enhed uden mistænkelige ting. Der er håb.

Der er ikke noget ved Nexus* enhederne som dikterer at man roder med dem. De er full-featured, og har ingen bagsider, med mindre man er forelsket i f.eks. HTC Sense. Så du kan roligt købe en.

Din HTC Sensation er forøvrigt fuldt understøttet af CyanogenMOD:
http://wiki.cyanogenmod.com/wiki/HTC_Sensation:_Full_Update_Guide

Prøv at roote den. Du kan altid sagtens vende tilbage til fuld HTC factory-tilstand, hvis du har brug for det.

Casper Bang

Jeg er helt enig med dig I at Android er et stort skridt frem i forhold til Jobs Walled Garden på Jesus-fonen, men i guder for et læs lort producenter og teleselskaber vælter ovenpå...

Men det er da ikke specielt unikt for Android, prøv at købe en consumer laptop og se hvad producenterne har smidt på af lort!

Hvis jeg virkelig gad rode med smart-phones tror jeg også jeg ville gå efter Googles reference modeller, men så meget har jeg ikke planer om at gøre ud af det, jeg vil bare gerne have en telefon med IP connectivitet som jeg kan stole på.

Jeg er også altid gået efter såkaldt "Google Experience" telefoner, men det er jo ved at være et non-issue dels p.g.a. ROMmanager og dels da CyanogenMod efterhånden understøtter 50+ forskellige enheder og er installeret på 100K+ enheder.

Cyanogen (Steve Kondik, hvis du føler dig mere sikker med navn på) er iøvrigt blevet hyret af Samsung og alt foregår i det åbne (GIT repo, bugtracker, IRC kanal mv.).

Men hvis dit krav er ikke at tillade noget som helst software på din mobil, som du ikke selv har reviewet, og iøvrigt ikke har tid/kompetance til dette, ja så må du jo se at få fat i en feature phone istedet!

Morten Wegelbye Nissen

Autorun Manager (https://market.android.com/details?id=com.rs.autorun)


Tror altså det er en 03 for misforstået emne.
For overhovedet at forslå en sådan lappeløsning, end sige for PHK(Beklager at skrive halvt på vejene af dig) til overhovedet bare at tænke på at overveje det, skal du starte med at overbevise os om at man kan stole Autorun manager og folkene bag.

Noget helt andet er om basis er en whiteliste eller en blackliste. Det første er helt klart at fortrække.

Casper Bang

Der forhindrer operativsystemt i det mindste ikke at kunden fjerner stadset. Android tillader mig ikke at fjerne HTC's spyware og sikkerhedshuller.


Kan du dokumentere at HTC lægger decideret spyware på de telefoner de sælger? Kender du til noget software hvor der med 100% sikkerhed ikke er sikkerhedshuller i?

Det er fair nok at du ikke er til HTCs Sense, Motorolas Motoblur eller Samsungs TouchWiz; men der er vel ingen grund til at begynde at smide med FUD.

Android er en OS kerne (Linux) med en tracing register-baseret VM (Dalvik) og et runtime API (nu op til version 15) hvor alt er open source, bortset fra et udvalg af applikationer til Googles egne services (maps, gmail etc.). Med mindre der er tale om en reference "Google Experience" telefon fra Google, vil mobilfabrikanten typisk også forsøge at forbedre UI'et med proporitære applikationer der adskiller netop deres produkt fra konkurrenternes. Det er ikke stort anderledes end når du køber laptops med diverse "assist", "agent", "shortcut" etc. funktioner. Jeg går ud fra du også nuker din laptop og smider et rent OS på af dig eget valg?

Så egentlig er den ikke længere end at du følger en HOTWO hvor der står hvordan du oplåser bootloaderen på din mobil, rooter og smider RomManager på og installerer CyanogenMod. Det kan de fleste teenager drenge finde ud af, og så kan du nok også. :)

Henning Svane

I mange år var der et vedvarende angreb på Micorsoft at de lave kode som man ikke havde indsigt i og var lukket. Nu er der kommet to nye OS'er IOS og Android. Men hvad har de givet os. IOS der er mere lukket en MS og Android der siges at være åbent. Ja på godt og ondt og i mine øjne mest ondt. Da de fleste applikation til Android er skrevet frivillige eller mindre firmaer er kvaliteten ringe. Et væld af opdatering samt skrevet i JAVA der sluger RAM så man skulle tror det er løgn. En telefon under 512 MB ram kan simpelt hen ikke bruges til dagligt brug. IOS er fuldstændig kontrolleret. Software kan kun køres hvis den er købt/hentet igennem ITunes. Dette er et skråplan uden lige. Det mest fantastiske er at det ses som en kvalitet får at sikre den nemme adgang til applikationer.
Microsoft er ganske simpelt engle i dette selskab. Hvordan Phone 7.5 er blevet med hensyn til nye applikationer ved jeg ikke.
Jeg så længe at Meego fra Intel/Nokia som et håb da det var topstyret samt åbent. Lidt ligesom FreeBSD. Desværre ser et ud til at det vil lide døden. Med andre ord står vi i en situation hvor vi stiltiende accepter subset af Orwells 1984. Det er bare ikke staten der overvåger os det er nogle firmaer. Og måske har Kina som nævnte PHK lagt sniffer kode i telefonen.
Dette er ikke spørgsmål om at være paranoid men om stille de nødvendige spørgsmål. Det er jo netop derfor vi har en register lov her til lands.
Google har allerede været på kant med dette flere gange. Jeg har også en Android den spørger mig om den må benytte mac adresser til hjælp om lokalitet. Hvis jeg svare på dette vil jeg gå rundt og samle oplysninger om alle mine venners placering af deres trådløse net. Den viden bliver opsamlet i Google.
Men det er jo smart og nemt. Det var livet også i Orwells 1984.

Med andre ord vi skal være kritisk spcielt over for leverandøre der får MS til at ligne engle

Casper Bang

Ad 1: http://www.androidpolice.com/2011/10/01/massive-security-vulnerability-i...


Det er svært at gennemskue, men der er vel intet bevis for bad intent - snarere sjusk. Iøvrigt skulle HtcLogger hullet nu været lukket og jeg har da også set mindst 2 sikkerheds OTA opdateringer på min søsters Sensation.

Ad 2: Ja, det er kun et spørgsmål om at gøre sig umage.

Lettere sagt end gjort, selv ikke CMM5 organisationer som NASA, Boeing, BAE Systems osv. der smider mia. af kroner efter QA, er fejlfri!

Jacob Nordfalk

Googles tillader ikke andre at distribuere mange af deres bedste programmer - fx Maps - men der findes en god lille pakke til Cyanogenmod indeholdende dem alle, der er så tæt på at være officel, som noget, der ikke er helt lovligt, kan være.

Jeg tillader mig lige at præcisere:

Google closed-source tilføjelsesprogrammer såsom gmail og Maps er ikke en del af Android og må kun distribueres af producenten selv, dvs Google, på samme måde som apps fra enhver anden producent ikke bare må distribueres videre uden tilladelse (det kaldes vist piratkopiering :-)

Det 'overså' Cyanogenmod i lang tid, indtil de fik et pænt brev fra Google, hvorefter praksis blev ændret.
Nu er Googles tilføjelsesprogrammer nogen man selv skal hente på Markedet, og Cyanogenmod har en lille app der aktiverer Markedet så brugeren bare skal trykke 'OK' et par gange og så er Googles tilføjelser installeret.

Carsten Sonne

Men hvor(dan) finder man et troværdigt projekt der leverer ROM images til Android telefoner ?

Hvis man kan undvære friheden, er det værd at overveje at pare sige æg med æbler - så ved man da i det mindste hvem der passer på en. Selv har jeg opgivet, og antager per default at min telefon i et eller andet omfang, er komprimiteret.

Det er tragisk at IT er blevet så komplex at ingen - ikke engang en ekspert som PHK - længere kan overskue det.

Morten Sørensen

...når vi ikke helt er klar over hvilken telefon der er tale om.
Det hele kommer meget an på mærke og model. Den samme custom ROM til f.eks. en Sony Ericsson Xperia Mini fungerer altså ikke på en Samsung Galaxy S II. Så hvis vi nu kunne få lokket mærke/model ud af hr. Kamp, så kunne vi jo hjælpe mere præcist.

Til alle CyanogenMod fans må jeg desværre være lidt knotten og sige at jeg, som pænt erfaren custom ROM bruger, ikke kan anbefale CyanogenMod. Godt nok er den fyldt til renden med smarte features, men det går samtidig også ud over batteri-(leve)tid. Og hvis man kigger på deres kildekode, så er den fyldt med spaghettikode og masser af unødvendig skidt.

Jeg har selv en HTC Desire, og jeg bruger Oxygen, som også er blevet anbefalet længere oppe. Oxygen er ret tæt på den originale Android kildekode, men har en del niftige features og samtidig er "hack-fri" - altså uden grimme hacks for at forcere understøttelse af f.eks. 720p optagelse med kameraet. Og der findes en ROM fra samme team kaldet DevNull som er det tætteste på stock Android man kommer. Desværre fungerer Oxygen ikke til alle telefoner, hvilket netop understreger min pointe ovenfor.

Mit umiddelbare råd er at bruge lidt tid på de berømte/berygtede XDA forummer, hvor der er sub-forummer til hver mærke/model. Og ellers bruge sund fornuft. Er beskrivelsen af ROM'en fyldt med stavefejl eller ikke fyldestgørende, så er det nok en god idé at holde sig væk. Find en såkaldt AOSP-ROM. Det er nemlig ROMs bygget på kildekoden fra Google.

Jesper Lund Stocholm

Det er tragisk at IT er blevet så komplex at ingen - ikke engang en ekspert som PHK - længere kan overskue det.


Det er da ikke tragisk - det er super fedt, at teknologien har udviklet sig så meget, at vi nu for ganske få penge kan rende rundt med "fuldblods-computere" i lommen.

Det drejer sig jo heller ikke om, at PHK ikke kan overskue det. Det drejer sig om, at PHK ikke vil bruge tiden til at læse kildekoden igennem selv og derfor er nødt til at stole på nogle andre, der gør det. Det dilemma vil jo altid være der - uanset produkt.

Det er muligt, at du helst så, at kildekode for OS+apps for en telefon kunne ligge på en 5 1/4 " diskette - men imo røg den grænse for år tilbage.

Poul-Henning Kamp

Det er tragisk at IT er blevet så komplex at ingen - ikke engang en ekspert som PHK - længere kan overskue det.

Det er ikke et spørgsmål om ikke at kunne overskue, det er et spørgsmål om tid.

Jeg ville f.eks gerne kunne bruge min smartphone som SSH terminal i en krisesituation, så jeg ikke er tvunget til at have min laptop med mig overalt.

Det forudsætter at jeg kan stole på at mine inputs ikke bliver logget og solgt til højestbydende.

Hvis jeg skal investere en eller 3 mandmåneder før det kan lade sig gøre, er det ikke besværet værd og jeg slæber bare laptoppen med i stedet.

Jeg undrer mig over at der ikke er nogen der har fokuseret på markedet for troværdighed, som ovenfor nævnt lader de ROM's jeg har fundet til at handle om hvor meget flim-flam man kan lave, hvilket er det stik modsatte af hvad jeg er efter.

Har folk virkelig generelt bare givet op overfor computersikkerhed ?

Carsten Sonne

Har folk virkelig generelt bare givet op overfor computersikkerhed ?

Jeg tror groft sagt at folk kan deles i 2 grupper: Dem der ikke rigtig betragter det som et problem og så dem som ikke magter at gøre noget ved det - manglende tid, kundskaber, økonomi etc etc.

Det kunne oversættes til de der ikke rigtig forstår IT sikkerhed - og her kan ikke lade være at med at henvise til Stephan Engberg og ligesindende (med modsat fortegn selvfølgelig) - og så de der mener at det går jo nok alt sammen.

Jeg foranledes til at tænke stærke interesser ikke er interesseret i at "løse" problemet idet botnet, hackere og andet godtfolk gang på gang udstiller hvor sårbar IT (og ultimativt hele vores samfund) er. Det er sådan lidt som et tveægget sværd.

Lars Sommer

Hvis jeg har en Android-mobil, og specifikt har købt en "Google model" for at undgå for meget skrammel på softwaren, får jeg så noget ud af at installere Cyanogenmod eller Oxygen på den?

På min helt ikke-tweakede og ikke-hackede Samsung Galaxy S oplever jeg at både browser, kamera og tastaturprogrammerne crasher. Jeg ønsker ikke flere funktioner (tværdigmod), men jeg ønsker en stabil mobil.
Kan Cyanogenmod eller Oxygen give mig det?

PHK: Det er ikke for at dreje bort fra din problematik, men blot fordi vi måske har en masse erfarne Android-kyndige i tråden. Jeg er enig i dine betragtninger, og kan pt. ikke se nogen mobilmodeller jeg kan stole på.

Lars Sommer

Hvor mange steder kører der software i en moderne smartphone?

Er det nok at skifte ROM, for at få en "sikker" mobil?

Er der ikke en række drivere og firmware i diverse radioer i telefonerne, som ikke er åbne?

Jacob Nordfalk

Har folk virkelig generelt bare givet op overfor computersikkerhed ?

Ja, og det skete vel helt fra starten, med bl.a. Windows som den store isbryder: Når 99.3% (eller hvor meget det nu var da Windows havde næsten total dominans) af befolkningen allerede har vænnet sig til at man ikke har kontrol over sit styresystem og blot må vælge at stole på producenten, ja, så er der vel ikke langt til at det samme gælder telefonerne.

Casper Bang

Har folk virkelig generelt bare givet op overfor computersikkerhed ?

Nej men sikkerhed er en balancegang imellem bekvemmelighedsgrad og irretationsgrad, så folk vælger vel bare selv hvor de vil ligge imellem ekstremerne ligeglad og paranoid. USA's præsident Obama måtte f.eks. kæmpe bravt for overhovedet at få lov til at bruge sin Blackberry i begrænset omfang.

Som udgangspunkt må man forvente en de-facto chain-of-trust, dvs. at et consumer produkt man køber er sikret "godt nok", og lade brande falde hvis dette ikke skulle være tilfældet. For vi kan vel godt blive enige om, at vi ikke allesammen kan gå rundt og være paranoide low-level eksperter i de produkter vi køber. Så jeg er ikke helt sikker på hvad du er ude efter, skal vi droppe alle gadgets eller savner du en sikkerheds-ombudsmand eller...?

Jesper S. Møller

men derudover betragter jeg Nokia som uden relevans i markedet

Meeen, samtidig er du jo heller ikke tilfreds med markedets resultater, og undersøger jo netop muligheder, der p.t. ligger udenfor. :-)

Hvis vi kan lære noget at udviklingen inden for x86 PC platformens historie så er det at den blev drevet af hardware- og softwareudvikling i tandem - konkurrencen skaffer biligere/hurtigere hardware, software kræver standardisering - men det kræver modenhed, og ikke den type fragmentering som har været betegnende for Android (og glem Apple).

Det burde være Qualcomm, Foxconn, ARM, AMD og Intel og andre af den slags, der trykkede på for en standardisering af systeminterfaces, så de kunne normalisere konkurrencen og vi kunne få e.eks. et "Linux vs. FreeBSD vs. Windows Mobile (vs. iOS)" valg diskurs omkring mobilhardware (hvor åbenhed, features og pris var reelle konkurrenceparametre), og ikke en "Windows Mobile (med Nokia patches) vs. Android'ish (med Samsung patches)'ish vs. Android (med HTC patches)", etc.

Spørgsmålet er bare om vi nogensinde når derhen -- indtil da er det op til hver enkel at afveje risiko imod nytte.

Jesper S. Møller

Nu er der ikke ret meget kommunikation ud af et TV; om PHK ser Opera på DR2 eller naturfilm fra kanalkøbenhavn er vist det højeste, der kan spioneres på.

Nu kan man jo få fjernsyn med netadgang og sådan for få tusind kroner, og jeg skal love dig for at detaljeret profilering af netop TV-vaner er MANGE penge værd for dem som fordeler reklamekronerne.
Steganografi + netadgang + data om fjernsynsvaner opsamlet for millioner af kunder. Scary.

Og når vi først er dér, hvorfor så ikke personalisere reklameblokkene?

Hov, det findes jo allerede - Google TV?

Peter Ahlgren

Hvis man rooter ens tlf, eller flasher den med et andet rom. Hvordan ser det så ud med garentien / forsikring på ens telefon?

min er købt via telenor med deres forsikring. men er nettop i tvivl om de ikke dækker hvis jeg er uheldig at tabe min tlf og den går i stykker

Carsten Rhod Gregersen

... og selvom du kompilerer din helt egen Android eller for den sags skyld kompilerer FreeBSD på den ...SO WHAT...

Du ved jo ikke om kineser lakridserne er blevet "rootkittet".
Idag er der rigeligt med plads til at ligge et lille system ind der kan aktiveres på passende vis.

>Re: Er det gjort med software?
>Det er ihvertfald den konklusion USAs hemmelige tjenester,
>militær og NASA er nået frem til.

Ok.. og hvordan ved du det (og lad være nu med at sige "fordi det har de offentligt udmeldt"). Da de har deres egen lakrids producent "in-house" så er det for den sags skyld også lige meget for os i EU.

Jeg tror ikke der er mange telefon-producenter der har slebet lakridserne ned og gennemlyst dem og verificeret at det er "genuine" ARM^TM cores der ligger deri... eller for den sags skyld i Intel (når Motorola-Intel-Android får markettraction)

Og ja, der er kun for folk med en ekstra rulle folie på hatten ... men de folk findes jo ... (ikke kun på psyk...)

Det er gængs procedure hos foliehatte at du ikke må have isenkram (f.x. mobiltelefon) med til vigtige møder, til tider at de skal være slukket (dvs. batteriet er taget af) i tilpas tid forinden ankomst ... Det er til stadig diskussion om det er nok hvis batteriet er taget af... (Ergo er du foliehat så er en iPhone allerede diskvalificeret langt inden vi diskuterer om CIA har rootkittet den)...

Poul-Henning Kamp

Du ved jo ikke om kineser lakridserne er blevet "rootkittet".

Der er himmelvid forskel på at alle og enhver der kan åbne en TCP port kan downloade hele min telekommunikations-færden (= virkelighed på HTC telefoner) og på at nogen skulle have lagt bagdøre ind på hardware niveau (= "Giv os flere penge" budgetforhandlings-skrækscenarie i DoD/DoE).

Jeg forholder mig til den realistiske risiko for mig, og i den forbindelse plinger HTC's bagdør helt klart ind på radaren, mens jeg tvivler meget på at nogen skulle gide at rootekitte en arm processor for min skyld.

Carsten Rhod Gregersen

Øøhhh... jeg tror ikke jeg forstår din logiske slutninger... Men det er nok fordi jeg for længst har sluppet hardware/software diffentieringen...

Hvis du virkelig mener at der er 25% sandsynlighed for at Kineserne har brugt penge på at ligge noget ind i "software"... Hvad er dit argument så for at de ikke har brugt en krone på at gøre noget i "hardware"?

At ligge overvågning det ind i "software" vil være det mest stupide... der er alt for stor sandsynlighed for at det opdages... og skaber problemer eller lign.

Der er så mange muligheder hvis du laver det i "hardware"... selvfølgelig laver du ikke hele systemet... du har jo bare brug for en bridgehead... så har du jo en kæmpe platform der kan gøre arbejdet...

Carsten Rhod Gregersen

Så lav det som en SoC lagt ind ved siden af din ARM-core... og programer det som "software", som kan overvåge og aktiveres on-demand ...Så er det lavet i "software"...

Nu har vi jo foliehatten på... så her får du den med fuld helikopter hat, hvid skjorte, butterfly og grønne fløjlsbukser:

Hvis du er rigtig smart så (gen)bruger du den alm. cpu-core og kontekst switcher dine egne processer ind og afvikler dem fra internt "darkhat" RAM/ROM/FLASH (du kan jo pille ved MMU'en også) ergo dine "dark-hat" proces'er kører "ved siden af" operativ systemet, men på samme core. Derefter skulle det være "ret nemt" (hvis man kender platformen) at interface til de data og hardware snitflader der ønskes adgang til. Nogen gange vil det gå galt mht. at holde tilstanden til hardwaren iorden (den deles jo imellem to parter)... men hvordan ville det opleves: "Argh... nu skal jeg reboote igen og så virker det hele igen ... satans Android/iPhone"

Ok det vil kræve "lidt" snilde... men du kommer ud over en masse andre problemer i forhold til at forsøge at hijacke det alm. operativ system... (der ligger på et medie med veldefineret "eksternt" interface)

Nikolaj Halberg

@Peter Ahlgren

Så længe du ikke forvandler den til en ekstremt dyr mursten ved at fejlflashe f.eks. en nye radio kan du altid un-roote den igen. Alle producenter der bruger Android kildekoden er pålagt fra Google at de skal offentliggøre deres udgaver af ASOP kaldet RUU'er. Så man un-rooter sådan set bare ved at smide et originalt RUU image tilbage på telefonen. Selvom du ikke gør det og indleverer din telefon med en custom ROM kan dit teleselskab ikke nægte at udbedre en eventuel hardware fejl poå telefonen. Det ville jo svare til at du ikke kunne få repareret din IBM Thinkpad bare fordi du havde fået pengene tilbage for den windows der originalt lå på og havde smidt en Linux på den i stedet for ;).

Peter Ahlgren

Tak skal du have :) Da det er en SE ARC jeg har. ville det være pænt træls at ødelægge det ved at roote den eller smide en bedre rom på, da jeg syns SE laver nogle sløve og batteri krævende nogle. specielt når det er en man har sparet sammen til. min gamle X8'er og X10 mini var jeg lige glad med. men arc'en ja den passer jeg ekstra på

Lars Bjerregaard

alle og enhver der kan åbne en TCP port kan downloade hele min telekommunikations-færden (= virkelighed på HTC telefoner)

For nu at være fair, så har HTC fået lukket dette yderst pinlige hul, og rullet opdateringer ud, ifølge de rapporter jeg har set. Check manuelt for updates en gang imellem (settings->about->updates), så kan du tit få dem lidt hurtigere end at vente på at den fortæller dig det.

Klavs Klavsen

dvs. Maemo (eller meego, eller mer.. der er flere varianter :)

nu er den N900 desværre EOL og jeg tror desværre ikke maemo/meego kører på android telefoner?. Men måske N9'eren (som "snart kommer i danmark"?) eller bedst - N950 - men den er desværre en developer only telefon - nu Nokia kun sælger windows og symbian telefoner :(

N900 er ellers en fed telefon - ingen påtvungede pakker/programmer - og alt er installeret med debians pakkeværktøjer - og kan afinstalleres med samme om man ønsker det.. Ligesom man er vant til på en Debian baseret distro på sin computer.

N900/N950 foretrækker jeg selv, pga. det indbyggede keyboard - det gør det nemmere at ssh'e remote. Eneste problem er at den højst kan køre en 1 til 1,5time med ssh 3G, uden at blive ladet.

Dennis Jørgensen

Hvis jeg har en Android-mobil, og specifikt har købt en "Google model" for at undgå for meget skrammel på softwaren, får jeg så noget ud af at installere Cyanogenmod eller Oxygen på den?

På min Nexus One kunne jeg med stock firmware ikke afinstallere ting som Facebook, Twitter, Amazon Music Store og så Googles standardbundle af programmer. Jeg kunne opdatere dem, og afinstallere opdateringerne, men ikke fjerne dem helt.

Jeg ved ikke om Google fortsat præinstallerer noget udover deres egne programmer, men de er ikke med i CyanogenMod (heller ikke Googles programmer, men de fleste installerer dem nok alligevel, for Market er en af dem).

CyanogenMod tilføjer dog også ting nogle kunne opfatte som skrammel: Terminaleemulator, FM-radio, Theme Chooser. Derudover åbner de for at trække i MANGE flere opsætningshåndtag, derunder at trække rettigheder ud under fødderne på installerede applikationer.

Så ja du får noget ud af det, men du mister også at være først til nyeste udgivelse.

Rasmus Rask

An Android app developer has published what he says is conclusive proof that millions of smartphones are secretly monitoring the key presses, geographic locations, and received messages of its users.

Trevor Eckhart showed how software from a Silicon Valley company known as Carrier IQ recorded in real time the keys he pressed into a stock EVO handset, which he had reset to factory settings just prior to the demonstration.

http://www.theregister.co.uk/2011/11/30/smartphone_spying_app/

Adam Tulinius

Ingen der har nævnt MIUI endnu?
Det er ellers ret lækkert, men jeg går ud fra at det er udelukket per automatik når det er kinesere der står bag :)

Rasmus Rask

Mere information om CarrierIQ:

http://androidsecuritytest.com/features/logs-and-services/loggers/carrie...

Ser umiddelbart ud til at være installeret på især brandede smartphones fra Amerikanske teleselskaber.

Siden er nu nede grundet overbelastning. Indtil de kommer op igen, kan teksten uden screenshots ses via:

http://webcache.googleusercontent.com/search?hl=da&q=cache%3Aandroidsecu...

Lars Lundin

Trevor Eckharts video reportage ovre på Wired siger det hele:

http://www.wired.com/threatlevel/2011/11/secret-software-logging-video

Jeg troede CIQ var slemt da jeg nævnte det ovenfor for et par uger siden, men det gik først rigtigt op for mig, da jeg så Eckharts video - selv https trafik i klar tekst kopierer CIQ...

Jeg er glad for min CyanogenMod.

Og hatten af for EFF, der hjalp Trevor Eckhart, da han blev truet af Carrier IQ.

Bo Grünberger

Men det er godt nok ofte man hører om brud på sikkerheden i Android. Både med gigantiske sikkerhedshuller, som i HTC's modeller, og nu med apps der kan stjæle andre applikationers rettigheder.

Hvis man virkelig er bekymret for sin sikkerhed, så kunne det være at det ikke lige er Android man bør satse på. Et mobilt OS der udvikles af verdens største reklamefirma, fyldt med sikkerhedshuller... .Just sayin'.

Log ind eller opret en konto for at skrive kommentarer

IT Businesses