Sicherheit bei ROMs?

Wie stellt man eigentlich sicher, dass in den ROMs (custom oder "Original-Backups") oder im CWM kein Schadcode ist?

Wer sagt uns denn, dass die modder so fachkundig, integer und selbstlos sind, dass deren ROMs im Hintergrund (evtl. unbeabsichtigt) nichts "böses" tun?

z.B. das berühmte "nach Hause telefonieren", "Premiumdienste" nutzen und somit Kosten verursachen, Daten weitergeben, das Smartphone zeitweise zu SPAMschleuder oder Zombie umfunktionieren...

Welche zuverlässigen und wirksamen Möglichkeiten zur Diagnose hat man?

Das sollte (z.B. die c't) mal untersuchen... ;-)

Ich für meinen Teil verlasse mich da auf die Masse.
Also schlichtweg Leute wie du und ich. Wenn da was läuft was da nicht hingehört wird es irgendwann jemandem auffallen. Siehe XDA Developers und den aktuellen HTC-Fall.

Wirklich zuverlässige Methoden gibt es da glaube ich nicht. Sofern du dich auskennst kannst du ja vorher im system schauen ob da was verdächtiges drin ist. Aber wer pflückt schon jede *.apk vorher aus einander?

Ja das hat mich auch gewundert. Da wird in irgend einem spanischen Forum ein ROM gepostet und schon spielen sich die Leute das auf die Geräte. Das ganze wird dann noch von vielen Leuten auf etlichen Share-Hostern verteilt ohne das sich jemand die Mühe macht eine Checksumme an zu geben.
Wenn dieser spanische ZaDyn den Code zur Verfügung stellen würde (es gibt auch ein chinesisches Projekt, die sind da aber auch nicht besser) könnte man sich den ROM selbst zusammen bauen, das ist eigentlich gar nicht so schwer. Noch besser wäre es wen es gleich als offizieller oder inoffizieller Port ins Cyanogen-Repository integriert würde. Dann könnte man sich den Daily-Build runter laden statt sich auf ominöse Share-Hoster-Quellen zu verlassen.
Natürlich ist man dort auch nicht hundertprozentig davor gefeit das jemand bösartigen code einchecked aber das ist schon deutlich schwieriger als bei einem fertig gebauten binary.

Es sollte jedem der sein Gerät rooted und ne custom ROM drüber frickelt wohl mehr als klar sein dass custom ROMs von Usern für User geschrieben sind. Und wenn ich eben auf solche ROMs zurückgreifen will/muss dann sollte wohl auch mehr als klar sein dass man sich da auf Dritte verlassen muss die auch den Großteil nur per Try n Error rausgefunden haben..
Und genauso wirst du vielleicht bemerkt/gelesen haben im Cyanogen Thread, dass es zu den ZaD ROMs betas gibt, heisst also er lässt seine ROMs schon nochmals durchtesten ob irgendwas nicht damit stimmt bevor er sie als final deklariert...

Ich kauf auch kein Auto von jemandem der mir sagt "keine Angst, hab ich selber gebaut, alles super.." genauso wie ich kein Auto kaufe wo die Hälfte fehlt..

Wer rootet greift eh aufs Tiefste in sein Gerät ein und ohne ne Risikobereitschaft geht da nicht viel in Sachen ROM Wechsel

schön gesagt ^^

Der Vergleich mit dem Auto hinkt etwas. Wenn ich Ahnung von Autos hätte und einen Bausatz für ein Auto würde ich mir das selbst zusammen bauen und auch sicher damit fahren.
Vom Software bauen habe ich zwar Ahnung aber mir fehlt der Baukasten weil die Quellen nicht offen gelegt sind.
Also hoffen wir mal das es bald einen regulären Cyanogen-Port für dieses Gerät gibt, damit kann man das Risiko von Schadsoftware im eigenen Custom ROM schon deutlich senken.

Sagen wir mal so:

Wenn Du ein ROM mit Hintertürchen einsetzt, passiert erstmal nicht viel.

Wenn Du dann auch noch populäre und vertrauenswürdige Apps einsetzt, passiert auch nix.

Android ist im Prinzip ein Linux und auch im Prinzip ebenso angreifbar.

Allerdings sind die Schnittstellen zu Viren eher klein im Vergleich zu einem Linux-Server, der 24 Stunden am Tag angreifbar ist.
Diese stellt in der Regel mindestens eine Homepage auf Basis eines Content-Management-Systems und dazu oftmals mehrere Hosts wie Gameserver, Voice-Server uÄ bereit und dort muss alles immer auf dem aktuellsten Stand sein, dort sind dann auch Virenscanner und andere Schutzmaßnahmen angesagt.

Bei Linux-Heimrechnern ists wie bei unseren Androiden: in der Ruhe liegt die Kraft!



Gruß
Markus