NSA ist mit eigenem Code in Android vertreten
NSA, Prism, Tempora, Snowden, direkter Zugriff auf Server, man denkt, dass man bereits alles weiß und dann gibt es doch wieder etwas Neues. Die allseits beliebte NSA wirkt nämlich am Andorid-Code mit. Eine Hintertür, um leichter an die Daten der Nutzer zu kommen? Vielleicht, beweisen lässt sich dies aber nicht so einfach. Android ist ein Open-Source-Projekt, das heißt, jeder kann Vorschläge zur Verbesserung der Software einreichen, die dann eventuell sogar übernommen werden.
Die NSA sagt dazu, dass der von ihnen eingereichte Code die Nutzer nur schütze. Nämlich vor Hackern und Datensammlern, denen der Zugriff auf persönliche und geschäftliche Daten durch den NSA-Code verweigert würde. Das gilt aber nicht nur für Smartphones. Laut NSA wird dieser Code künftig in allen möglichen Geräten mit Android Verwendung finden.
[werbung] Momentan befindet sich der Code nur in der neuesten Android-Version, betroffen sind demnach nur aktuelle Flaggschiff-Modelle oder Nexus-Geräte. Da könnte es ja fast von Vorteil sein, nicht das neueste Update aus dem Hause Google auf dem Gerät zu haben.
Android ist aber nicht allein, bereits vor einigen Jahren wirkte die NSA an Linux mit und hat dort ebenfalls erfolgreich zum Betriebssystem beigetragen. Untersuchungen ergaben damals aber, dass es wohl keine Hintertür gibt, über die Daten ausspioniert werden könnten. Der Code wurde von vielen Leuten überprüft und man fand keine offensichtlichen Hintertüren.
Vielleicht ist es tatsächlich an der Zeit, einmal ein Kickstarter-Projekt für Alu-Hüte zu starten. Codeschnipsel von der NSA allein zur Sicherheit vor Hackern und Datensammlern? Ich halte das für genauso wahrscheinlich wie die Existenz des Weihnachtsmanns. Und nun? Alle Smartphones aus dem Leben verbannen oder einfach akzeptieren, dass es so etwas wie Geheimnisse nicht mehr gibt?
Update: Bevor ich hier in den Kommentaren noch digital gelyncht werde: Ich behaupte nicht, dass die NSA eine Hintertür in Android eingeschleust hat, auch nicht bei Linux. Aber, ich kann es mir vorstellen, auch wenn diese Hintertür nicht offensichtlich ist. Ist meine Meinung, so wie Eure Meinung ist, dass dies bei Open Source nicht möglich ist. Nirgends im Artikel wird behauptet, dass etwas anderes der Fall wäre. Schlechte Recherche vorzuwerfen ist ziemlich leicht. Was ist denn schlecht recherchiert? Dass die NSA Code zu Android beiträgt? Dass Android Open Source ist? Etwas anderes steht nicht als Fakt im Artikel. Das ist weder Panikmache, noch Klickhascherei. Eigentlich auch kein Grund, mich hier rechtfertigen zu müssen. Wenn Ihr im Artikel Falschinformationen findet, also Dinge die wirklich nicht stimmen, werden diese selbstverständlich korrigiert.
Wird geladen ...
@Sascha wirklich ganz tiefes Recherche Niveau. Damit tust du weder dem Blog noch deiner Person oder auch Cashy nen gefallen. 10min Recherche hätte gereicht rauszufinden dass es um SELinux geht. Und da war nicht nur die NSA dran. Daraus jetzt ne angebliche Hintertür von Android oder Linux zu zimmern – dafür ist die Kritik echt gerechtfertigt. Und das hat auch mit „dann lies hier nicht mit“ zu tun. Das ist ne Kindergarten Antwort
@hg hauptsache negative Android-Überschrift 🙂
Hier übrigens nochmal die Überschrift von Saschas „Quelle“: „Bug bei Google: NSA spioniert 75 Prozent aller Android-Handys aus“
Der Code muss keine eigene Backdoorfunktionalität haben, er kann auch nur dazu dienen einen günstigen Abschnitt für eine Code-Injection bereit zu stellen. Man müsste sich den Maschinencode ansehen, der aus den NSA-Code-Sequenzen entsteht und ob dieser einen Angriffspunkt bietet, der bei einer Attacke nicht zu einem Absturz führt und sogar eine Hintergrundverarbeitung zulässt.
Der Artikel hat schon etwas von Panikmache an sich: „Da könnte es ja fast von Vorteil sein, nicht das neueste Update….“
Meiner Meinung nach ist die NSA nicht per Definition böse. Es mag sicherlich, aus unserer Sicht, böse Departements innerhalb der NSA geben – aber nicht die ganze NSA wird böse sein. Wie von hg beschrieben, ist der Code von SELinux von der NSA. Es gibt dort bis heute keine Hintertüren. Ich möchte behaupten, dass jede 0€ App häufiger nach Hause telefoniert als ein Server mit SELinux.
lol geiles Update… Sascha, du hast anscheinend immer noch nicht verstanden was die Leute hier Dir mitteilen wollen…. Deine (besonders) dieser Artikel ist einfach mies… weder schlüsselst Du auf WO genau die NSA-Code beisteuert (sonderns pauschalisierst Android – für die „Dummen“..äähh ich meine Klicks) noch enthält der Artikel sonstige gut aufbereitete Inhalt… achja Moment, wir können ja gehen… stimmt ja, hatte ich vergessen.
Wirklich, such Dir nen anderen Job bitte… oder bewirb Dich bei der Bildzeitung.
Der Blog hier war mal echt toll, bis das liebe Geld dazwischenfunkte…
Und jetzt bitte ich um meinen verdienten Diss.
hier http://goo.gl/7QSQf doch mal ne meldung, die wirklich schockiert… 😉
Die NSA hat zwei Interessen: dich ausspionieren, und selbst nicht ausspioniert werden. Daher schafft sie auch Sicherheit in Software, die die selber nutzt. und open-source wäre eben sehr peinlich wenns dann schnell gefunden wird. eher ist es so, dass die nexus Binaries verseucht sind, der source aber sauber. Google war ja Geschäftspartner. Daher eigenes Rom nutzen, siehe die prism break site.
Erstaunlich, wieviele Menschen nichts sinnvolles mit ihrer Zeit anzufangen wissen…
Ach Gott Sascha.
Schon wieder eine reißerische Selbstinterpretation, die von eigenen Interessen nicht geprägter sein kann.
Kritik ist bei dir wie das Klagen an der Klagemauer. Sie wird wahrscheinlich nie erhört.
Mei, gerade dank git ist es verdammt einfach, alle Commits von Leuten der NSA zu finden. Hier weis man wenigstens, wer dahinter steckt, ganz im Gegensatz zu z.B. TrueCrypt.
Recherche wäre gewesen, dir selbst den Code anzuschauen oder Leute zu fragen, die davon Ahnung haben und nicht einfach so unfundiertes Zeug (nach-)plappern.
An Linux/Android arbeiten geniale Leute aus allen Regionen, Firmen und Regierungen der Welt, meinst du wirklich, diejenigen aus z.B. Rußland oder China kriegen von ihren Chefs nicht die Vorgabe, da mal ordentlich drüber zu schauen? Klar, die NSA hat clevere Leute, andere aber auch.
Mit iPhone wehre das nicht passiert 😉
Das ganze hin oder her, so lange es dazu dient die Welt ein Stück besser zu machen sollen sie sich dran beteiligen. Mittlerweile kann ich es nicht mehr lesen.
Wir werden nie alles erfahren wie und was die alles machen, darum heißt es auch Geheimdienst.
Ekelhaft populistischer Artikel auf unterstem Niveau! Ich kann mich der negativen Kritik der Vorredner nur anschließen! Bitte keine Panikmache, dafür mehr Technikverständnis und Objektivität (auch in einem Blog) zeigen.
Sorry für die Kritik Sascha. Aber wenn du in deinem Update was von Fakten erzählst und sagst, das wäre ja alles nicht falsch, und dass falsche Infos berichtigt werden: Unfug. So wie du (und diese unsägliche Quelle) es darstellen, ist es einfach auf Effekthascherei ausgelegt.
Beispiele?
„Momentan befindet sich der Code nur in der neuesten Android-Version, betroffen sind demnach nur aktuelle Flaggschiff-Modelle oder Nexus-Geräte. Da könnte es ja fast von Vorteil sein, nicht das neueste Update aus dem Hause Google auf dem Gerät zu haben.“
Dieser Absatz ist gerade so verfasst, als wüsste man schon ganz genau, dass der Code böse fies und gemein ist und man ja froh sein kann, eben kein Nexus Gerät zu haben. Auch einige Absätze darüber, wird die Aussage, „man wolle den User ja nur schützen“ so zitiert, dass es so klingt, als würdest du das weder glauben, sondern es wäre ja klar, dass das gelogen ist.
Das ist es, was die Leute hier teils ankreiden. Das Verpacken von (Halb)Wahrheiten in einer Art und Weise die du für dich entschieden hast. Und zwar als subjektive Haltung. Was du drunter deutlich machst, indem du sagst, dass du dir vorstellen kannst, dass die NSA da böse Backdoors eingeschleust hast. DAS mag ja sein. Aber es ist
a) keine Tatsache
b) hat nichts mit den entsprechenden Commits der NSA zum Code von Android oder Linux zu tun (den du auch noch auskramst)
Wenn es eben um SELinux und dessen Android „Pendant“ geht, hat das nichts, aber auch gar nichts mit Backdoor und böser Spionage zu tun sondern genau das Gegenteil. Und warum? Weil eben – dumm gelaufen – bei der NSA nunmal einige echt helle Köpfe in Sachen Mathematik, Cryptoanalyse und derlei sitzen. Und deshalb haben die auch schon mehr als einmal zu OpenSource beigetragen. Weil sie den Krams zum Teil auch selbst einsetzen. Genauso wie es genug OS Projekte gibt, die die DARPA gefördert hat (OpenBSD anyone?) Das ist ja auch so eine ganz böse Regierungsinstitution.
Nochmal: Ja was du schreibst mögen (Teile von) Fakten sein. Du stellst sie – genau wie die Quelle – aber absichtlich oder unabsichtlich (subjektiv) im schlechtesten Licht dar. Gerade jetzt wo alle auf dem „NSA & Google are evil“ Trip sind (egal ob das nun gerechtfertigt ist oder nicht, anderes Thema), ist man aber mit solchen Überschriften und Darstellungen schnell in der Ecke des Bild-Journalismus. Und da du leider auch keine andere Quelle oder Info anbietest außer dem, was die Quelle schon gruselig recherchiert wiedergibt, klingt dein ganzer Artikel hier wie schlechte Stimmungsmache. Vor allem, wenn man dann gleich so pikiert auf Kritik reagiert.
@alle Kritiker: Wer kritisiert wird, hat auch das Recht, sich zu verteidigen. Schon mal darüber nachgedacht? Und kommt mir jetzt bitte keiner mit bla bla bla Niveau bzw. niveaulos…. Eure teilweise vor Arroganz triefenden Pseudo-Diss-Kritiken sind oft genug von Anfang an ohne jegliches Niveau. Macht’s halt besser, wenn ihr mit eurem ach so erhabenen Wissen so viel mehr drauf habt.
@Jens G.: Vollkommen richtig, was Du schreibst. Es ist meine subjektive Schreibe. Deshalb Verwendung von Konjunktiv in den Fällen, in denen ich keine Fakten präsentieren kann. Stimmungsmache? Vielleicht, wenn auch nicht unbedingt beabsichtigt. Panikmache? Nur, wenn man nicht richtig liest oder den Schreibstil nicht richtig deutet. Siehe Überschrift. Ich hätte auch die Überschrift aus der Quelle übernehmen können, das wäre dann Panikmache oder reißerisch gewesen. So schreibe ich sogar noch, für was die NSA den Code einbringt (nämlich zum Schutz der Nutzer). Aber darf ich das nicht auch in Frage stellen?
Aber ja, auch diese Kritik nehme ich mir zu Herzen (also ganz anders, als mir ab und an hier unterstellt wird). Wenn von mittlerweile knapp 300 Artikeln hier 5 kritisiert werden (und das immer von den gleichen Leuten), kann ich soooo viel nicht falsch machen. Ist zwar auch nur wieder meine Meinung, aber hey, die darf ich ja wohl haben?
Ich finde den Artikel nicht unbedingt falsch. Ein wenig Aluhutig, aber auf keinen Fall übertrieben paranoid, oder so.
Es gibt durchaus Gründe, dort mit Skepsis ranzugehen. Wenn ich es richtig verstehe hat die NSA viel bei Sicherheitsmechanismen beigetragen. Hierbei sollte man wissen, dass komplexe Crypthographie ein extrem schwieriges Thema ist und es hier nicht sehr viele Experten gibt, die das Feld wirklich komplett überschauen.
Es ist durchaus möglich (auch wenn ich es nicht für wahrscheinlich halte), dass die NSA hier Sicherheitsmechanismen stützt, die NSA-forschende Mathematiker leichter knacken können als vergleichbare Verfahren.
Bei Cryto werden laufend Fehler gemacht und laufend werden Dinge als sicher zertifiziert, die Humbug sind (siehe CryptoChat Anfang der Woche).
ich verkaufe meinen androiden trotzdem nicht, denn ich bin mir sicher, der faule apfel hats insich 😉
Hier (nur) zwei Links für diejenigen, die sagen „kann ja alles gar nicht sein, das würde beim Review sofort auffallen“:
http://underhanded.xcott.com/?page_id=2
https://www.schneier.com/essay-198.html