Seriosität von Community-OS-Versionen (~Custom ROMs) wie dem CM

F

freakonaleash99

Erfahrenes Mitglied
19
Hallo!
Ich befasse mir derzeit mit der Frage ob ich auf mein Desire s die CM10 Version aufspielen soll.

Was mich an der ganzen Sache allerdings stört ist, dass ich nicht weiß, wie seriös die jeweiligen Roms sind. D.h., wenn ich ein CustomRom aufspielen, gebe ich ja mein Smartphone quasi völlig in die Hände von Fremden. Die könnten doch alles mögliche da rein programmieren um mich auszuspionieren, ohne dass ich etwas davon mitbekomme.
Einerseits denke ich, wenn das wirklich der Fall sein sollte, wird es irgendjemand schon rausbekommen und man wird es im internet lesen können. Andererseits weiß ich nicht, ob eine Spionage nicht auch komplett unbemerkt bleiben kann.
Weiterhin Frage ich mich dann: Welche Motivation haben die Entwickler, dass sie das völlig kostenlos anbieten? Da steckt ja auch ne Menge Arbeit dahinter und das einzige was ich finden kann ist ein "Donate" button auf der Webseite, keine Werbung, keine kostenpflichtige Angebote...

Was meint ihr zu dem Thema? Mache ich mir da umsonst Sorgen?

Grüße
 
Custom Rom ist nicht gleich custom Rom...

Da gibt es einmal dieses einfach zusammen gemurkste Zeug wo keiner Einsicht hat was da genau gemacht wurde.
Und dann gibt es noch AOSP Roms wie zb CM die vollständig die Quellen offenlegen. Du kannst also selbst den Code ansehen... und studieren ja sogar selbst die ZIP erstellen wenn du das möchtest.

Welche Motivation haben die Entwickler, dass sie das völlig kostenlos anbieten?
Zum Vergrößern anklicken....

Spaß an der Sache?
 
Das nennt man dann die OpenSource Community.
Wenn du es nutzt und es gefällt dir, kannst du dich mit einer Spende über den Donate Button für die Arbeit bedanken. Du wirst also - im Vergleich zu kostenpflichtigen Produkten - an keine proprietäre Lizenz gebunden, musst keinen Vertrag abschließen UND niemand zwingt dich etwas zu zahlen. Nur wenn du findest, dass das Produkt Geld Wert ist und dann auch nur so viel wie es dir persönlich wert ist.

Ich finde, dass ist ein genialer Ansatz. Ich persönlich habe mehr Geld an OpenSource Projekte gespendet, als ich in meinem ganzen Leben für ClosedSource Software ausgegeben hab. Und ein besseres Gefühl dabei.
 
ok das hört sich ja prinzipiell schonmal gut an.

aber als "normaluser" bleibt dann wohl nichts anderes übrig als Vertrauen in die Entwickler zu haben... Auch wenn alles offen gelegt wird, muss man ja erstmal die Fähigkeit haben, überprüfen zu können ob wirklich alles sauber ist.
Ich meine, ich habe zwar Grundkenntnisse in C, aber das reicht ja bei weitem nicht das ganze zu durchblicken....
 
Das hängt dann von deiner persönlichen Paranoia ab. Entweder es reicht dir, zu wissen, dass es OpenSource ist und von sehr vielen verschiedenen Entwicklern programmiert wurde - von denen sicher nicht nur einer Amok gelaufen wäre bei eventuellen "Überwachungsmechanismen" - oder du nimmst dir die Zeit, die Programmiersprache in dem benötigten Umfang zu lernen und danach nochmal die Zeit den gesamten Quellcode durchzuschauen.

Mal ganz prinzipiell gefragt: Was denkst du, wer ein Interesse daran hätte im Umfang von CyanogenMod daten zu sammeln? Hinter CyanogenMod steckt kein gewinnorientiertes Unternehmen, das mit den Daten Geld verdienen könnte.
 
Ganz klar: Derartige Projekte sind natürlich auch gerne mal Ziel für Hackerangriffe, und es hat - in völlig anderen Umfeldern allerdings - bereits erfolgreiche Szenarien gegeben, in denen die Quelltexte manipuliert wurden.
Aber: Sowas fällt normalerweise sehr schnell auf, und wird in der Open-Source-Szene auch recht offen kommuniziert.

Umgedreht: Wenn ein von dir skizziertes "ausspähen" so ganz und gar unbemerkt erfolgen könnte, was macht dich dann so sicher, dass nicht eine der großen Firmen - oder ein unzufriedener Angestellter - entsprechenden Code einschmuggelt? -- So oder so musst du Vertrauen in den Anbieter haben.
 
Du hast dich beim einschalten deines Desire S mit dem Google Konto verbunden, deine Daten sind also schon in fremden Händen daher macht es auch nichts aus ob du noch eine Custom Rom flasht ;)
 
Genau sobalt du dein Smartphone eingeschaltet hast und dich mit Google verbunden hast, sollte dein Gedanke nichtig sein ;)

und wenn du auch noch meinst irgendwie dein Smartphone benutzen zu wollen, mach das lieber nicht, denn da gibs noch diese Apps die haben alle Rechte die mehr oder weniger schwer sind einzuschätzen...

Da kannst du bei den CustomRoms, bei egal welchen Smartphone, dass meiste Vertrauen den Entwicklern schenken...

Um dein mistrauen einwenig ein zu Dämmen, nimm lieber eine sehr bekannte CustomRom für dein Smartphone, welches du benutzt. Die passenden findest du ja dann in deinen Geräte Thread/Forum....

Du solltest ehr aufpassen was du dir für Apps herrunterlädst und vor allen Dingen wo ;)

greetz
 
  • Danke
Reaktionen: Stylez Ray.
Genau sobalt du dein Smartphone eingeschaltet hast und dich mit Google verbunden hast, sollte dein Gedanke nichtig sein
Zum Vergrößern anklicken....

Im Prinzip geht es nicht nur um die Daten sondern um "schädlichen" Code..

Umgedreht: Wenn ein von dir skizziertes "ausspähen" so ganz und gar unbemerkt erfolgen könnte, was macht dich dann so sicher, dass nicht eine der großen Firmen - oder ein unzufriedener Angestellter - entsprechenden Code einschmuggelt? -- So oder so musst du Vertrauen in den Anbieter haben.
Zum Vergrößern anklicken....

Sehe ich auch so. Wobei es dann eine frage der Haftbarkeit ist... eine Firma haftet für den Code... CM oder MisterX nicht. :)
 
Naja, im Endeffekt sind wir uns einig das dies wieder ein Paranoiagedanke ist (genauso wie das Thema mit den App-Berechtigungen).
Natürlich kann jeder x-beliebige schädlichen Code in eine Rom oder Kernel oder App coden aber diese fälle kann man wenn überhaupt an einer Hand abzählen, und spätestens wenn eine ROM hier gelistet ist braucht man sich sowieso keine Gedanken mehr zu machen.
Genau so gut kann auch die Salami aus dem Aldi präpariert werden die du ja so gerne kaufst oder das Auto vom Gebrauchtwagenhändler zu deinem Nachteil modifiziert sein ;)
 
Ich finde hier, sollte geschlossen werden...

Dem User wurde geholfen und mehr kann man eh nicht mehr sagen....
Er ist ja nun mal nicht der erste der das Thema anspricht...

Falls man Angst um sein Daten hat, sollte man die Finger allgemein von Smartphones lassen... Somit ist es wieder alles paranoid...

Und, wenn du soviel Angst davor hast... lass das Flashen sein, denn dann können wir die hier nicht helfen.


....Closed....
 
Hallo,
mal ne bescheidene Frage, alle reden davon wie gut oder wie schlecht eine ist aber ich möchte hier eigentlich wissen wie sicher solche Custom Rom´s sind. Ich meine nur diese sind ja von Privatleuten zusammenprogrammiert worden und theoretisch könnte da alles mögliche eingebaut worden sein.
Ich benutze mommenatan auch eine und habe ein mulmiges Gefühl jedes Mal wenn ich meine Onlinebanking App öffne, oder Passwörter eingebe!

Danke für eure Antworten!
 
eine Garantie dafür wird es sicherlich nie geben aber ich denke wenn du eine der bekannten custom roms verwendest musst du dir keine sorge machen
 
Custom-Roms sind wie Android selbst komplett quell offen, jeder stellt seine Sourcen mit denen er die CR entwickelt hat zur verfügung bei GitHub. Diese Codes werden von anderen oft Hundertfach überprüft und die CR-Szene ist schon fast "Familiär" und da würde es sich sehr schnell herumsprechen wenn da einer irgendwelche Backdoors eingebaut hätte oder ähnliches und der wär dann auch ganze Schnell von den Plattformen verschwunden.

Custom-Roms sind in 90% der fälle sogar sicherer als Hersteller Software. Beispiel Towelroot funktioniert bei der Custom Schmiede CyanogenMod garnicht. Nicht nur weil CRs von haus aus Root haben, sondern weil die ausgenutzte sicherheitslücke einfach gleich mal gefixt und mehrmals geprüft wurde. Glaubst du irgendein Handyhersteller wird dafür nen Fix raus bringen? Genau, Keiner.

Natürlich geht von Root auch mehr gefahr aus, Apps die diese Rechte verlangen und bekommen haben sehr leicht die möglichkeit dein ganzes Handy unrettbar lahm zu legen, dazu musst du aber ihnen erst die Chance geben.

Und gleich nochmal zum milliardsten mal zum Thema Antivirus App ála Avast, lookout:

Es gibt nichts unnützeres.
 
Custom-Roms sind wie Android selbst komplett quell offen, jeder stellt seine Sourcen mit denen er die CR entwickelt hat zur verfügung bei GitHub.
Zum Vergrößern anklicken....
Das ist die Theorie...

Diese Codes werden von anderen oft Hundertfach überprüft
Zum Vergrößern anklicken....
Wenn man sich anschaut wie lange die OpenSSL mit dem Heartbleed-Lücke offen war, dann würde ich solche krassen Lücken auch beim normalen Android Source Code erwarten. Noch schlimmer bei Modifikationen ala CustomROMs. Der Unterschied ist jedoch die schnelle Korrigierbarkeit

Glaubst du irgendein Handyhersteller wird dafür nen Fix raus bringen? Genau, Keiner.
Zum Vergrößern anklicken....
Ab neuer Kernelversion ist das kein Problem mehr. Muss halt geupdatet werden

Aber das alles was du beschreibst ist ja gar nicht das Problem - sondern vielmehr irgendwelche eingebauten Apps und Dienste, deren Quellen (bzw. Quellcode) unbekannt sind und die gewissermaßen schon Vollzugriff haben.

Letztendlich ist es also eine Frage des Vertrauens:
Vertraust du eher StockROMs wo der Hersteller unter Umständen haftbar ist - dafür aber ne Menge Crap vorinstalliert bzw. Sicherheitslücken nur schleppend oder gar nicht korrigiert werden, oder vertraust du ein paar Köchen, wo du auch nicht alles siehst...
Sobald du keine offiziellen Updates mehr bekommst, würde ich in jedem fall zum zweiten Fall tendieren
 
Ich selber würde grundsätzlich nur zu "großen" ROMs raten. Also Cyanogen, Paranoid, OmniROM, fertig. Ist einfach viel sicherer so. :)
 
Weder
Aaskereija schrieb:
Custom-Roms sind wie Android selbst komplett quell offen, jeder stellt seine Sourcen mit denen er die CR entwickelt hat zur verfügung bei GitHub.
Zum Vergrößern anklicken....
noch
Melkor schrieb:
Das ist die Theorie...
Zum Vergrößern anklicken....

Quelloffen ist nicht gleich Quelloffen. Es gibt große Unterschiede zwischen den Lizenzen, während bein der GPL alles offen gelegt werden muss ist es bei der Apache-Lizenz, die bei Android hauptsächlich zum Einsatz kommt, nicht so. Daraus resultiert auch dass kaum ein Hersteller den Quellcode seines Androids veröffentlicht. Im Gegensatz dazu steht der Kernel unter GPL, des Kernel Quellcode muss somit auch jeder Hersteller veröffentlichen.

Custom ROM ist auch nicht gleich Custom ROM, während bei den großen AOSP ROMs der Qullocode für die offiziellen Ports frei zugänglich ist, wird ein auffinden vom Quellcode der Stock basierenden ROM grade zu unmöglich sein (Ausnahme: Nexus Reihe), da eben nichts von den Herstellern veröffentlicht.
Das eine ROM auf AOSP basiert heißt aber auch nicht dass der Dev seine Code veröffentlichen muss, für ihn gelten hier die selben Regeln wie für die Hersteller. Es kann also auch vorkommen, das für eine CyanogenMOD basierte ROM, einen inoffiziellen Port, keine Sourcen öffentlich zugänglich sind.

-> es muss auch keiner in der Theorie seine gesamten Source offen legen

Aaskereija schrieb:
Diese Codes werden von anderen oft Hundertfach überprüft und die CR-Szene ist schon fast "Familiär" und da würde es sich sehr schnell herumsprechen wenn da einer irgendwelche Backdoors eingebaut hätte oder ähnliches und der wär dann auch ganze Schnell von den Plattformen verschwunden.
Zum Vergrößern anklicken....

Bezweifle ich. CR Szene und Android sind nicht nur die Flaggschiff Geräte, zu denen es zig CRs gibt. Mag sein, dass es bei diesen Geräten auffallen würde, wie ist es aber mit den Hunderten von Geräten, die jeweils vielleicht nur 2 oder 3 Devs haben? Wer kontrolliert dort?

Melkor schrieb:
Aber das alles was du beschreibst ist ja gar nicht das Problem - sondern vielmehr irgendwelche eingebauten Apps und Dienste, deren Quellen (bzw. Quellcode) unbekannt sind und die gewissermaßen schon Vollzugriff haben.
Zum Vergrößern anklicken....
Relativiert sich ab 4.4, da System Apps nun in zwei Kategorien eingeteilt sind, /system/app und die privilegierte in /system/priv-app. System relevante Rechte können nur noch letztere haben. Fragt sich nur, in wie weite der Dev das auch beachtet und natürlich, ob man selber relevant und irrelevant wir Google definiert ;)

Letztendlich ist es also eine Frage des Vertrauens:
Zum Vergrößern anklicken....
Daran steht und fällt es, aber wo gilt das nicht? Auch eine Onlinebanking App nutzt man, weil man ihr ein gewisses Vertrauen entgegen bringt, auch wenn ihr Quellcode nicht offen liegt.
Wem und auf welcher Basis man nun sein Vertrauen geben will, muss jeder für sich entscheiden. Ich z.B. habe kein Problem mit CRs (tendiere da auch zu den Großen), Onlinebanking am Smartphone muss ich jedoch nicht haben ;)
 
Panteloa78 schrieb:
....und habe ein mulmiges Gefühl jedes Mal wenn ich meine Onlinebanking App öffne....
Zum Vergrößern anklicken....

Kleiner (OT-)Hinweis: Hat zwar mit der hier behandelten Sicherheit der Custom-ROMs weniger zu tun, aber zum Thema Online-Banking über das Handy gibt es Warnungen genug (nicht von Banken!), es nicht darüber zu machen.
Selbst am PC mache ich Online-Banking nur via HBCI mit Smartcard im Kartenleser mit integrierter PIN-Eingabe!

Letztendlich bleibt immer die Erkenntnis, dass nichts 100% sicher ist, aber man kann es Betrügern möglichst schwer machen! ;)
 
gibt es irgendeinen vernünftigen Grund für das Misstrauen gegen Online-Banking? Írgendein halbwegs realistisches Angriffsszenario?!?
 
@girouno:

Ich möchte das Thema hier nicht weiter vertiefen, da ich heute Morgen nur kurz auf das "mulmige Gefühl" von Panteloa78 eingehen wollte - es hat ja mit dem Threadthema nicht unmittelbar etwas zu tun, da nicht von der ROM abhängig.Zu Deiner Frage deshalb auch nur ganz kurz eine kleine Auswahl: Online-Banking.
Das kann man ernst nehmen ... oder eben ignorieren. ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Gibt es Custom Roms für China Tablets?
  • mool
Antworten
3
Aufrufe
161
E4_
E4_
C
/e/ oder Calyx Os
  • Cappolino
Antworten
2
Aufrufe
436
DwainZwerg
DwainZwerg
FlyingCat972
Warum erschweren die Hersteller es einen zu Rooten und Custom Roms aufzuspielen?
  • FlyingCat972
2
Antworten
20
Aufrufe
1.558
DerKomtur
DerKomtur
Zurück
Oben Unten