Fehlende Patches auf Smartphones: Volla widerspricht Vorwürfen von GrapheneOS
Die Entwickler von GrapheneOS werfen unter anderem Volla vor , Produkte mit miserabler Sicherheit zu verkaufen. Kunden erhielten falsche Angaben zu Datenschutz und Sicherheit, etwa fehlende Patches und falsche Angaben zum Android-Sicherheitspatch-Level. Darauf reagierte Volla mit einer Stellungnahme und lieferte weitere Hintergründe.
"Wir sind uns der Aussagen von GrapheneOS bewusst, wonach Volla-Geräte ungenaue Android-Sicherheitspatch-Stände melden" , erklärte Jörg Wurzer, der Geschäftsführer von Volla Systems, Golem auf Anfrage. Das Unternehmen nehme solche Behauptungen sehr ernst und wolle den Hintergrund des Standes der Android-Sicherheitspatches erklären.
"Bei Volla basiert unser Update-Prozess auf der Integration der neuesten Sicherheitspatches, die über das Android Open Source Project (AOSP) bereitgestellt werden" , beschreibt Wurzer den Prozess. Hinzu kommen "gegebenenfalls zusätzliche Patches und Korrekturen aus vorgelagerten Komponenten" .
So werden Patches in Android implementiert
Dazu zählen unter anderem Android Security Bulletin (ASB)-Patches von AOSP, Korrekturen für den Kernel und Subsysteme sowie herstellerspezifische Updates von Chipsatzherstellern wie Mediatek. Wurzer betont, dass " alle relevanten Patches" sorgfältig geprüft, angepasst und bei Bedarf zurückportiert würden, um die Kompatibilität mit unseren Geräten sicherzustellen.
Er verweist darauf, dass sich "die Korrektheit dieses Prozesses" unabhängig überprüfen lasse. So lasse sich das Betriebssystem auf bekannte Sicherheitslücken prüfen, um zu erkennen, ob sich diese noch ausnutzen lassen. "Die von uns verwendeten Komponenten, einschließlich unserer Android-Basis- und Kernel-Quellen, sind Open Source und stehen zur Einsicht öffentlich zur Verfügung" , betont Wurzer.
Volla vermisst Belege zu den Vorwürfen von GrapheneOS
Er betont, dass "der Android-Sicherheitspatch-Level ein standardisierter Indikator ist, der an von Google definierte Fix-Sätze gebunden ist" . In der Praxis könnten Gerätehersteller über Backports oder Updates von SoC-Anbietern gleichwertige oder sogar mehr Fixes implementieren.
Diese entsprächen dann "möglicherweise nicht immer eins-zu-eins" der entsprechenden "Upstream-Kennzeichnung" , würden aber "dennoch die betreffenden Schwachstellen vollständig beheben" , betont der Volla-Geschäftsführer.
"Uns liegen keine konkreten technischen Beweise von GrapheneOS vor, die die Behauptung stützen, dass Volla-Geräten kritische Patches fehlen, die ihrem gemeldeten Sicherheitspatch-Level entsprechen. Ohne solche Beweise können wir die Behauptung nicht validieren" , sagt Wurzer weiter.
Volla bekenne sich "weiterhin uneingeschränkt zu Transparenz, Open-Source-Prinzipien und zeitnahen Sicherheitsupdates" . Das Unternehmen sei "stets offen für einen konstruktiven technischen Dialog und begrüße alle überprüfbaren Berichte, die dazu beitragen, die Sicherheit unserer Geräte zu verbessern" .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.