(Sicherheits)updates von Android-Apps

[Waterdrop]

Ja, aber wenn es gut funktioniert, warum unnötig Fehler riskieren und Nutzer stressen?
Ich lege auf den Aktionismus häufiger Updates eigentlich gar keinen Wert, sondern sehe das nur als leidige Notlösung für nicht optimale Software. Optimale Software finde ich VIEL besser! 

Mike spricht bei Android-Smartphones von 3 Sicherheitsebenen (Kernel, Firmware, Android), die es optimalerweise regelmäßig zu aktualisieren gilt. Wie sieht es mit den eigentlichen Apps aus? Gibt es bei den Apps praktisch keine Sicherheitsupdates? Oder ist das nur für paar bestimmte Arten von Apps wichtig?

Ansonsten erhalten die Apps doch "nur" Updates, mit denen Funktionsfehler behoben werden oder neue Funktionen integriert werden. Vielleicht auch, damit sie mit einer neueren Android-Version weiterhin funktionieren?

Wenn Sicherheitsupdates keine Rolle spielen, man mit den angebotenen Funktionen der App zufrieden ist und Alles problemlos läuft, ist es dann nicht völlig egal, wenn eine App jahrelang keine (oder nie mehr) Updates erhält?

Andererseits kann ich mir nicht vorstellen, dass es bei Apps gar keine Sicherheitslücken zu stopfen gilt. Außerdem wäre dann auch bei der SMS-App Silence die Seite Silence Warrant Canary unnötig, auf der es zur Zeit heißt:

Bis heute, 2022-10-03, ist Silence nicht gefährdet. Es gibt keine Hintertür und es wurde keine bekannte Sicherheitslücke hinterlassen.

Mit anderen Worten: ich bin sehr verunsichert und weiß nicht, was richtig ist. Für wie wichtig haltet ihr es, dass alle Apps regelmäßig Updates erhalten?

[Bit]

Optimale Software finde ich VIEL besser! 

Wie sieht es mit den eigentlichen Apps aus? Gibt es bei den Apps praktisch keine Sicherheitsupdates? Oder ist das nur für paar bestimmte Arten von Apps wichtig?

Das ist für die Apps wichtig und notwendig, bei denen sich Fehler herausgestellt haben, zusätzliche Features eingepflegt werden sollen und / oder sicherheitsrelevante Abwehr, Verkleinerung der Zielfläche usw., der sich verändernden Sicherheitslage nachgezogen werden müssen.

Das sind aber keineswegs alle Apps! Ich beziehe meine Apps über F-Droid und wenn ich großen Zeitabständen nachsehe, stehen unter "Aufgaben" einige Apps, die aktueller (zu dem Zeitpunkt fertig angebotener) Updates bedürfen.

Das betrift aber (je nach Zeitraum) NIE ALLE Apps, sondern in der Regel nur einen kleinen Teil.
Zuletzt war ich, vor zwei Wochen glaube ich, damit beschäftigt, 80 Apps zu aktualisieren, weil ich nachlässig gewesen bin und wohl ein Vierteljahr nicht bei F-Droid war. 80 ... von aktuell 178 Apps!

Aber ich weiß natürlich nicht, was in den Updates enthalten war, das müsste man bei jeder App einzeln nachlesen.
Jedenfalls gibt es sicherlich Apps, die seit vielen Monaten oder Jahren keine Updates bekommen haben, weil keine angeboten wurden. Andererseits kommt es auch schon mal vor, daß Apps nach dem Update viel schlechter laufen, als zuvor – in seltenen Fällen sogar gar nicht.

Ansonsten erhalten die Apps doch "nur" Updates, mit denen Funktionsfehler behoben werden oder neue Funktionen integriert werden. Vielleicht auch, damit sie mit einer neueren Android-Version weiterhin funktionieren?

Schau in die Release-Liste, da wird das meist haarklein aufgeführt! Ich denke nicht, daß man daraus eine Regel ableiten kann, sondern daß je nach Art der App und des Entwicklers ganz andere Aspekte eingepflegt werden.

Wenn Sicherheitsupdates keine Rolle spielen, man mit den angebotenen Funktionen der App zufrieden ist und Alles problemlos läuft, ist es dann nicht völlig egal, wenn eine App jahrelang keine (oder nie mehr) Updates erhält?

Genau so meine ich das. Wobei ich "keine Rolle spielen" bei Sicherheitsupdates eher mit "nicht notwendig" bezeichnen würde. "Keine Rolle spielen" könnte auch auf einen nicht sicherheitsbewussten Entwickler hindeuten und wäre dann fatal.
Jedenfalls aber heißen häufige Updates nicht zwingend, daß es eine besonders sichere App ist.

Andererseits kann ich mir nicht vorstellen, dass es bei Apps gar keine Sicherheitslücken zu stopfen gilt.

Wenn sie gut sind? Wenn sie kein Ziel bieten? Wenn sie einfach sind? Wenn ihre Möglichkeiten das nicht zulassen?

Außerdem wäre dann auch bei der SMS-App Silence die Seite Silence Warrant Canary unnötig, auf der es zur Zeit heißt:

Bis heute, 2022-10-03, ist Silence nicht gefährdet. Es gibt keine Hintertür und es wurde keine bekannte Sicherheitslücke hinterlassen.

Nein, die Seite ist gerade deswegen sehr nötig: um Kunden, die denken, nur eine ständig upgedatete App sei sicher, zu versichern, daß hier nicht geschlafen wird, sondern alles gut ist. Genau dafür ist die Seite da.
Es geht auch darum, daß die App nicht kompromittiert wurde. Solange der Vogel piept, wurde er rechtzeitig gefüttert.
Wenn der Entwickler verhaftet oder ermordet wurde, kann er den Kanarienvogel nicht mehr füttern und die App könnte unbemerkt kompromittiert oder mit gefälschten Updates beglückt werden!

Für wie wichtig haltet ihr es, dass alle Apps regelmäßig Updates erhalten?

Allgemein gesprochen, für sehr wichtig. Aber auf die einzelne App bezogen, kommt es eben drauf an (s.o.).
Man sollte immer nach Updates schauen, aber nicht unbedingt verunsichert sein, nur weil es keine gibt.

Das gilt übrigens auch für Computer-Programme. Und noch etwas:
Ich aktualisiere das Betriebssystem, solange das möglich ist, wie es angeboten wird.
Aber ich bin mit Upgrades, sehr zurückhaltend.
Erstens lasse ich viel Zeit vergehen und zweitens wird irgendwann das Ugrade kommen, das meine Hardware nicht mehr unterstützt – obwohl die prima funktioniert und in Teilen immer weiter aufgerüstet und erneuert wurde.
Ich werde mich sicher nicht dazu nötigen lassen, gute, funktionsfähige Hardware dauern zu verschrotten.

[Fjellrev]

Für wie wichtig haltet ihr es, dass alle Apps regelmäßig Updates erhalten?

Ich halte "regelmäßige" Veröffentlichungen von Aktualisierungen für unnötig.
Natürlich sollten verfügbare Aktualisierungen eingespielt werden.
Sogar wenn nur einfache, "nicht sicherheitskritische" Fehler beseitigt werden, Programmcode umgeschrieben wird, oder Funktionen entfernt bzw. nervige hinzugefügt werden.
Warum trotz der letzten Punkte? Hin und wieder kommt es vor, dass Software teilweise, aufgrund von Änderungen, neu geschrieben werden muss. Dabei werden manchmal unbemerkt Sicherheitslücken entfernt, und zeitgleich der alte, bisher vorhandene Code für die meisten Entwickler eher aus der Existenz radiert.
Ausnahmen bilden hier natürlich auf PCs gegebenenfalls Sicherheitsteams von Distributionen, welche Updates für alte Versionen rückportieren, und hier noch ein Auge raufwerfen könnten, was bei Apps aber vermutlich nur in ganz seltenen Fällen anzutreffen ist.

Der neue Code kann dabei zwar auch schlechter sein, wird jedoch aktiv weiter gepflegt, während der alte Code vielleicht Lücken enthält, die so nie mehr an das Tageslicht rücken - bis jemand mit bösen Absichten vielleicht doch... und es einfach ausprobiert, in der Hoffnung, Leute mit alten Versionen zu erwischen.
Wenn man mit aktuellen Versionen einer App unzufrieden ist, sollte man also eher die App wechseln, als bei alten Versionen zu bleiben.
Ausnahmen könnte man vielleicht für Apps machen, wenn sie keine Angriffsfläche von außen bieten: Keine Internetdienste nutzen, und keine unkontrollierten Eingaben/Daten verarbeitet (Bilder aus nicht eigener Quelle, ...).

Wichtig ist: Wird die Software (Apps, aber auch Programme, Addons, ...) aktiv gepflegt, oder nicht?
Also kümmert sich weiterhin jemand um diese Software, und veröffentlicht neue Versionen wenn eine Sicherheitslücke oder ein schwerwiegender Fehler gefunden wird? Ein anderer, schlecht zu beurteilender Punkt ist auch, ob jemand den Code auf Fehler prüft.

Bzw. im Fall von Distributionen und F-Droid: Werden Aktualisierungen der Anwendungen in die Repos eingepflegt? Ich schätze, die Projekte (F-Droid, etc.) werden da aber eigenständig Prüfen.

Alte Software bzw. deren Quellcode ist nicht zwingend voller Fehler, oder schlecht, aber fast überall wird man sicherlich (auch mal kritische) Fehler finden. Möglicherweise ist manche alte Software auch so gut abgestanden, dass sie häufig geprüft wurde, und tatsächlich (fast) alle Fehler beseitigt sind, so dass sie sicherer als manch neue Software ist... das bringt nur nichts, wenn sie nicht mehr auf modernen Systemen läuft, und/oder keine Anforderungen von Heute erfüllt.
Außerdem gibt es auch Systemänderungen, die neu oder umentwicklungen von Apps benötigen, damit diese modernere/sicherere System-/Bibliotheks-Funktionen nutzen.

[sibylla]

Für wie wichtig haltet ihr es, dass alle Apps regelmäßig Updates erhalten?

Mein Betriebssystem (LOS) aktualisiere ich einmal pro Monat, wenn das Android-Sicherheitsupdate des laufenden Monats eingebaut ist.

Bei den Apps bin ich großzügiger. Ich schaue alle paar Wochen mal nach, für welche Apps es Updates gibt. Ich schaue mir (nicht immer) den changelog an und das sind meistens neue features (die ich meistens nicht brauche) oder bugfixes. Wenn ich was von security lese, mache ich den Update. Andernfalls verzichte ich sehr oft. Insbesondere wenn es sich um eine App handelt, die ich seltener nutze als Updates angeboten werden (z.B. FairEmail), dann verzichte ich oft.
Automatische Updates nutze ich gar nicht.

Unangenehm auffallen tut in dem Zusammenhang vor allem der Messenger Signal:
Die Version von der Signal-Webseite hatte alle paar Tage ohne mich zu fragen (!) einen Download einer riesigen apk gemacht,  um dann nach dem Download scheinheilig zu fragen, ob es das installieren darf.
Inzwischen bin ich wieder zu der PlayStore-Version von Signal gewechselt. Die hat mir nun schon zweimal  gedroht, dass meine Software in 8 Tagen "abläuft". Ich werde jetzt wohl auch mal Signal-FOSS ausprobieren in der Hoffnung, dass die keinen Update-Terror ausübt.

[com]

Signal-FOSS ausprobieren in der Hoffnung, dass die keinen Update-Terror ausübt

Die FOSS Version hält sich ruhig. Falls du das Repo deiner F-Droid-App hinzufügst, kommen von dort Updatehinweise, je nach Einstellung. Ansonsten tut sich nichts.

[Waterdrop]

Danke an Alle!!!  :TOP

OK, dann filtere ich für mich das jetzt folgendermaßen raus:
- Wenn eine App länger (über Monate oder Jahre) kein Update mehr erhalten hat, heißt das nicht, das sie dadurch per se unsicher ist.
- Sobald ich aber feststelle, dass eine App nicht mehr aktiv gepflegt wird bzw. die Entwicklung eingestellt wurde, deinstalliere ich sie zeitnah und suche mir eine Alternative. (Z.B. konnte ich das bei QKSMS an dem Issue sehen.)
- Ob auch tatsächlich ein Update erfolgt, wenn eine Sicherheitslücke gefunden wurde oder ob der Code überhaupt auf Fehler geprüft wird, kann man nicht nachvollziehen. Egal ob es eine App ist, die immer wieder in kurzen Zeitabständen Updates erhält oder schon eine Ewigkeit gar keine Updates mehr erhalten hat. Man kann nur hoffen, dass die Entwickler die App angemessen auf Sicherheitslücken prüfen und diese ggf. zeitnah fixen.

Hin und wieder kommt es vor, dass Software teilweise, aufgrund von Änderungen, neu geschrieben werden muss. Dabei werden manchmal unbemerkt Sicherheitslücken entfernt

- Wenn ein Update angeboten wird, installiere ich es zeitnah. So gehe ich sicher, kein Update zu verpassen, das gezielt oder auch möglicherweise "versehentlich" eine Sicherheitslücke geschlossen hat. Es ist vielleicht strittig, ob es nicht doch klüger wäre, nicht jedes Update einzuspielen oder dies zumindest stark zeitverzögert zu tun, aber so werde ich es erstmal ausprobieren. Die Strategie, ein Update zeitverzögert oder nur zu machen, wenn im Changelog ein Securityfix und/oder Bugfix genannt wird, kann ich dann immer noch verfolgen.

Ich werde jetzt wohl auch mal Signal-FOSS ausprobieren

Danke für den zusätzlichen Hinweis wegen Signal. Vielleicht magst du zu gegebener Zeit (eilt überhaupt nicht) deine Erfahrung zu Signal-FOSS in meinem anderem Thema teilen:

Thema: Erfahrung: Wechsel zu Signal-FOSS und OSM?

[Andreas]

Ein gutes Beispiel (meiner Meinugn nach) für App, die auch ohne Updates auskommen, ist z.B. Send to SD card aus dem F-Droid Store.

Das letzte Update ist 7 Jahre her!
Aber bei der Funktionalität ist das schlicht egal. Denn ersetzt einfach nur den "Speichern unter" in Apps, die sowas nicht anbieten.
Einfach in der Firefall jeglich Internet-Rechte abdrehen und gut ist ...

Apps die nach außen hin (Internet) Schnittstellen haben, sollten hingegen aktuell gehalten werden! Denn diese sind dann auch angreifbar.

[Andreas]

Zuletzt war ich, vor zwei Wochen glaube ich, damit beschäftigt, 80 Apps zu aktualisieren, weil ich nachlässig gewesen bin und wohl ein Vierteljahr nicht bei F-Droid war. 80 ... von aktuell 178 Apps!

Dieser Teil ist mir gestern Abend nochmal durch den Kopf gegangen.

Man kann natürlich auch sehr viele Angriffsvektoren unterbinden, wenn man seine Apps regelmäßig "aufräumt" und nur die installiert, die man wirklich braucht.
Ich habe gerade mal geschaut und in Summe nur 42 Apps selbst installiert.

Ich persönlich kann mir auch gar nicht vorstellen, was ich alles installieren sollte, um auf 178 Apps zu kommen ... 
Aber das ist vermutlich sehr stark vom Nutzungsszenario des Telefons abhängig.

[ZeZo]

Andreas:... "Ich persönlich kann mir auch gar nicht vorstellen, was ich alles installieren sollte, um auf 178 Apps zu kommen ..."

Andreas, ich habe mir ein günstiges Samsung Tablet gekauft. Mein erstes Samsung Teil. Einen Zähler über die vorinstallierten apps habe ich noch nicht gefunden, es ist einfach nur gigantisch. Bisher hatte ich nur Motorola stock roms, das ist eine Wohltat dagegen.

Samsung bringt alles doppelt und dreifach mit, da einen store und noch einen store, meine Fresse. Bis die Garantie rum ist wird erstmal via adb deaktiviert und ohne G-account fehlt auch schon viel.

[Bit]

Angriffsvektoren unterbinden, wenn man seine Apps regelmäßig "aufräumt"

Da hast Du natürlich grundsätzlich recht!

Ich werde ja gelegentlich als "exzessiv" beschrieben, weil ich die Möglichkeiten der Technik gerne weitgehend austeste und ausnutze.
Im alten Forum gab es auch mal einen Beitrag zur Anzahl meiner damaligen Firefox-AddOns, was, glaube ich, Danilo sehr amüsierte (#8 im Thread).
Ich probiere gern auch Apps oder AddOns für gleiche oder ähnliche Aufgaben und vergleiche sie. Manchmal bleiben dann wegen bestimmter Fähigkeiten beide "hängen". Oder ich behalte sie auch, wenn ich sie in zehn Jahren voraussichtlich nur einmal brauche, weil ich sie dann parat haben muss und mich sonst wohl im entscheidenden Moment nicht an sie erinnern könnte.

Für beides gilt: mehr Angriffsfläche, klar.
Aber offensichtlich bin ich bislang gut genug geschützt: meine Konzepte funktionieren.