Offizielle Firmware Images verifizieren?

101

101

Neues Mitglied
1
Hallo,

es gibt ja bekanntlich Internetseiten wo man sich die neuste offizielle Firmware für das jeweilige Samsung Gerät herunterladen kann. Anschließend lässt sich dieses Image auf das Gerät flashen und so die Firmware aufspielen.


Gibt es eine Möglichkeit, diese Firmware Images zu verifizieren? bspw. mit einer offiziellen digitalen Signatur von Samsung? Oder prüft das Gerät die Korrektheit des Firmware-Image vor dem flashen? Damit meine ich, ob das Image (a) wirklich von Samsung kommt und (b) garantiert nichts im Programmcode verändert wurde?



Grüße,
101
 
Ladylike871 schrieb:
Die Firmware die man von Samsung zum Beispiel hier: SamMobile | Everything for your Samsung Mobile
herunterladen kann, ist original von Samsung.
Zum Vergrößern anklicken....
Ja, diese Seite mein ich. Die Seite ist laut "About Us" nicht von Samsung, sondern von Dritten. Ebenfalls fehlt ein Impressum, obwohl sie selbst Deutschland als TOP3 Besucher Herkunftsländer angeben und dann eigentlich gesetzlich zu einem Impressum verpflichtet wären.

Aber was ich meine ist eine digitale Signatur bzw. ein digitales Zertifikat. Also eine technische Möglichkeit zu prüfen ob die Firmware Datei wirklich von Samsung ist und ob diese Datei nicht verändert wurde. Woher weißt du z.B. dass die Firmware die dort angeboten wird auch wirklich nicht verändert wurde ... wenn du keine Möglichkeit hast, es zu prüfen?
 
So eine Verifizierung von Samsung wird es nicht geben. Samsung will nicht, dass man sich woanders eine Firmware runterladen und installieren kann. Man soll sein Telefon einfach nur nutzen oder technische Dinge, wie das manuelle Einspielen von Firmware durch autorisierte Partnerunternehmen gegen Bezahlung machen lassen.
 
Du kannst offiziell von Samsung signierte dateien nicht nochmal verifizieren, sowas wäre auch Rechtlich verboten.
 
Ich finde das ziemlich lustig. Wenn man bedenkt, dass diese Firmware Images offenbar garkeine Signatur besitzen. Rein theoretisch könnten die Anbieter, die Firmware mit beliebigem Code erweitern / austauschen, und der Benutzer würde es zu 99,99% nichts bemerken. Da hilft dann auch der beste Anti-Virus nichts mehr, wenn das Betriebssystem korrupt ist. Ziemlich gefährlich. :unsure:

Soweit ich weiß, werden Apps standardmäßig vom Entwickler digital signiert (Authentizität und Integrität). Vermutlich liegt es wirklich daran, dass Samsung es garnicht vorsieht das ein ganzes Betriebssystem von Dritten zum Download angeboten wird.

Aaskereija schrieb:
Du kannst offiziell von Samsung signierte dateien nicht nochmal verifizieren, sowas wäre auch Rechtlich verboten.
Zum Vergrößern anklicken....
:confused2: *confused* weißt du überhaupt, was eine digitale Signatur bzw. Zertifikat ist? Der Satz ergibt nähmlich keinen Sinn. (Das Problem istz, dass Samsung seine Firmware Images eben *nicht* signiert. D.h. kann ich sie auch nicht überprüfen (= verifizieren) ob sie wirklich von Samsung sind.)
 
Zuletzt bearbeitet:
I.d.R. sind die original Firmwares auch digital signiert. Heißt auf gut Deutsch: Wenn ich auf dem offiziellen Weg versuche eine falsche oder modifizierte Firmware zu flashen klappt das schon gar nicht. (Geschlossener Bootloader, kein root, kein Custom Recovery usw.) Das Forum ist voll von solchen Threads, in den Firmwares gesucht werden, die sich ohne diese Modifikationen flashen lasen. Es gibt aber keine. ;)
 
101 schrieb:
:confused2: *confused* wei0‰8t du ¨¹berhaupt, was eine digitale Signatur bzw. Zertifikat ist? Der Satz ergibt n0Š1hmlich keinen Sinn. (Das Problem istz, dass Samsung seine Firmware Images eben *nicht* signiert. D.h. kann ich sie auch nicht ¨¹berpr¨¹fen (= verifizieren) ob sie wirklich von Samsung sind.)
Zum Vergrößern anklicken....

Nein ich bin nur ein noob. Deswegen hat auch mrrbr schon angemerkt das es keine firmware ohne Signatur gibt
 
Hm, grad bei Samsung muß man aber unterscheiden - OTA-updates, die per recovery autark im Gerät gehandhabt und (vermutlich scriptbasiert nach reboot) geflasht werden, sind signiert. Das Stock-Recovery prüft das jedenfalls.
Das ist ja auch der Grund, weshalb man per ODIN erst mal eine Custom-Recovery draufpacken muß, damit man überhaupt unsignierte Flash-Zips flashen kann.

Kies-basiertes Updaten stellt auch den direkten Draht zwischen Samsung und Gerät sicher.

Die Odin-Tarballs sind aber nicht zertifiziert sondern nur per (md5-)Checksumme auf Konsistenz abgesichert. Sonst könnte man in der ganzen Samsungwelt ja kein Custom-ROM per ODIN-Flashen, wenn da ein Samsung-Fingerprint notwendig wäre :rolleyes2:

Selbes m.E. bei anderen Geräten - allerdings hier sauber über vorweg notwendigen Bootloader-Unlock bzgl. Eigenverantwortung abgegrenzt: Der Fastboot-Mode bei Motorola z.B. prüft auch nicht auf Konsistenz oder Zertifikat. Da kann man sich auch jeden Müll auf eine Partition schießen.

Insofern gilt hier das selbe wie bei der Virus-Diskussion im Sicherheitsthread: Wenn du der Quelle nicht vertraust, solltest du das Firmware-Image dieser Quelle nicht verwenden. Da hat der TE nicht ganz unrecht.
 
  • Danke
Reaktionen: mausbock
Zwar ot, aber wird eigentlich data "gewiped" wenn man bei den samsungdinger ein custom recovery flasht?
 
Ich kenne es zumindest so, dass der Bootlader nur die Signatur des Kernels bzw. der Boot-Partition verfiziert, ehe diese gebootet werden kann. Ein manipulierter Kernel könnte also nicht geflasht werden. Die Systempartition wird hingegen nicht verifiziert - das würde wohl zu lange dauern, da man ihren Inhalt ja komplett lesen und durch ein Prüfsummentool jagen müsste. Würde es einen solchen Check im Sinne der Secure-Boot-Chain geben, könnte man Geräte wahrscheinlich auch nicht permanent rooten, sprich su binaries usw. direkt auf der Systempartition installieren.

Ich persönlich würde solche Binaries generell meiden, dann lieber gleich eine Firmware, die wenigstens zum Teil quelloffen ist. Die in diesen Binaries enthaltene Boot-Partition sollte aber vertrauenswürdig sein (wenn man dem Herstellr vertraut), weil ihre Signatur ja vom Bootlader überprüft wird. Soweit zumindest mein Verständnis.
 
Die Frage ist, wem vertraue ich, wem nicht. Sammobile vertraue ich persönlich genauso, wie Samsung und Google. Bei anderen Quellen, gerade, wenn es diverse 1 Click Hoster sind, wäre ich auch skeptisch.
 
Ja gut, aber wenn es angeblich eh die offizielle Firmware von Samsung ist,. warum sollte man sie nicht gleich von Samsung direkt beziehen? Weil sie ältere Firmware-Versionen nicht mehr anbieten?
 
Wie ich bereits geschrieben habe, gibt Samsung sowohl Odin als auch die Firmware nicht an Endverbraucher raus, sondern nur an autorisierte Partner.
Bei Samsung kann man nur via Kies oder OTA die Firmware aktualisieren. Eine bestehende nochmal drüber flashen geht mit Kies nicht.
 
  • Danke
Reaktionen: Defier
Außerdem erlauben die on-line-Flasher Kies und (F)OTA keine Auswahl der zu flashenden Version der (Gesamt)Software, sodass der Kunde immer mit dem zufrieden sein muss, was die Netzzugangsanbieter für sein Gerät freigeben; gleich ob der Kunde mit diesen Netzzugangsanbietern überhaupt etwas zu tun hat oder nicht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

X
Firmware über Sammobile per JDownloader herunterladen
  • xyzUpdate
Antworten
13
Aufrufe
936
lm1818
lm1818
R
Offizielle Liste, welche Samsung Smartphones noch/wie lange im Support sind?
  • richard23
Antworten
2
Aufrufe
559
richard23
R
X
Samsung Firmware herunterladen?
  • xyzUpdate
Antworten
10
Aufrufe
1.801
maik005
maik005
Zurück
Oben Unten