spackblog

Zur Zeit wird überall über eine Sicherheitslücke in Android-Smartphones berichtet, dazu ein paar Worte. Zuallererst: Wirklich peinlich, dass das sogar Googles Hausapplikationen betrifft, bin von denen mehr Sorgfalt gewohnt. Beschämend. Das grundsätzliche Problem betrifft aber bei weitem nicht nur Android, sondern liegt im allgemein viel zu sorglosen Umgang mit unverschlüsselten Netzzugängen. Wer ein unverschlüsseltes WLAN benutzt, was auf die meisten öffentlichen Hotspots zutrifft, muss sich um eine Verschlüsselung seiner Nutzdaten selber kümmern. Das ist nicht neu, die Firefox-Erweiterung Firesheep hat das vor ein paar Monaten schon eindrucksvoll demonstriert: Man kann es sich in Funkreichweite eines öffentlichen WLANs bequem machen, Firesheep anwerfen und bequem alle eingeloggten (und unverschlüsselten) Facebook-Sessions der Nutzer in Funkreichweite mitlesen und – besonders beeindruckend – übernehmen. Facebook hat, etwas halbherzig, reagiert und den Nutzern die Möglichkeit an die Hand gegeben, sich nur per SSL verschlüsselt bei Facebook zu bewegen, das muss man aber erst (in den Kontoeinstellungen unter Kontosicherheit – Sicheres Durchstöbern (https)) aktivieren und außerdem funktionieren einige Seiten und Apps mit Verschlüsselung schlicht nicht.

Das besonders unangenehme an der aktuellen Android-Situation ist nun, dass die Nachlässigkeit in den zentralen Google-Apps zur Kalender-, Kontakte- und Picasa-Synchronisation stecken. Die meisten Android-Apps lassen sich über den Market aktualisieren, das Problem wäre binnen kürzester Zeit behoben, alles wäre gut. Das passiert übrigens tatsächlich in etlichen Apps auf allen Plattformen und ist ein länger diskutiertes Problem, vor allem, wenn es um Banking-Apps und ähnliche geht. Leider gehören die jetzt betroffenen Apps aber zum Betriebssystem und lassen sich nur durch ein Android-Update auf die ganz aktuelle Version beheben, die für viele ältere Geräte gar nicht kommen wird und für halbwegs aktuelle Geräte vielleicht irgendwann. Wie gesagt, sehr sehr peinlich, dass Google ausgerechnet da so geschlampt hat.

Aber sehen wir es mal positiv und leiten drei Hoffnungen daraus ab:

1. Die Leute gehen nun hoffentlich angemessen kritisch mit offenen WLANs um. Man wird ja noch mal träumen dürfen. Aber im Ernst: Die Sorglosigkeit der Nutzer im Umgang mit öffentlichen WLANs hat mich schon immer gewundert. Wer auf einem Notebook irgendetwas ohne Verschlüsselung benutzt ist irgendwie auch selber schuld. Es sei denn, man kann keine Verschlüsselung aktivieren, dann ist ganz klar der Hersteller schuld. Das ist ähnlich unbedarft, wie seine Passwörter auf irgendwelchen dahergelaufenen Internet-Café-Rechnern einzugeben. Kurz gesagt: Bleiben lassen.

2. Die Gerätehersteller veröffentlichen nun hoffentlich endlich regelmäßig und zeitnah die von Google bereitgestellten Updates. Die Absichtserklärung dazu ist ja unlängst von etlichen Herstellern und Netzbetreibern abgegeben worden, aber Android braucht darüber hinaus eine Möglichkeit, Sicherheitsupdates auch ohne neue Hauptversionen zeitnah einzuspielen, vorzugsweise automatisch. Alles andere führt zur jetzt so unangenehmen Situation. Also ist hier ganz klar Google in der Verantwortung. Aber auch die Kunden: Kauft einfach keine Android-Telefone bei Herstellern, die für nicht mal ein Jahr alte Geräte schon keine Updates mehr liefern.

3. Die App-Entwickler könnten das als Denkanstoß benutzen, endlich nur noch verschlüsselte Kommunikation zu verwenden. Unverschlüsselte Kommunikation auf mobilen Geräten ist ein No-Go, ganz besonders, wenn Session-Tokens oder Zugangsdaten übertragen werden. Das ist nicht neu, aber scheinbar nicht mal bis zu Googles Android-Programmierern vorgestoßen.

Abhilfe in der konkreten Situation schafft übrigens einfach der Verzicht auf unverschlüsselte WLANs. Die sind leicht daran zu erkennen, dass man kein Passwort direkt beim Verbindungsaufbau eingeben muss (unabhängig davon, ob man sich danach im Browser mit irgendeinem Code einloggen muss). Alternativ kann man die Synchronisation von Kontakten, Terminen und Picasa-Bildern erst mal abschalten, bis man ein Update bekommen hat. Vielleicht überdenkt man sowieso mal, ob die Synchronisation von Kontakten und Terminen mit einem Cloud-Anbieter generell eine so gute Idee ist.

P.S. Auch in verschlüsselten WLANs können unverschlüsselte Nutzdaten abgefangen werden. Das ist zwar weniger wahrscheinlich, aber wer weiß, ob der Betreiber eines WLANs nicht allen Datenverkehr aufzeichnet oder die Daten auf dem Weg durch das Internet irgendwo abgefangen werden. Eine sogenannte Ende-zu-Ende-Verschlüsselung sollte also unabhängig von eventueller Verschlüsselung auf einem Teil des Transportweges erfolgen.

So, genug erhobener Zeigefinger. Weitermachen.

Nachdem ich dreieinhalb Monate mit einem hässlichen Sprung im Display meines Dell Streak gelebt habe (mehr dazu hier), habe ich mich doch mal getraut, ein Ersatzdisplay für 60€ inkl. Versand in Hong-Kong zu bestellen. Das kam heute und ich habe mich natürlich sofort an den Einbau gemacht. Im Internet gibt es gute Anleitungen (Streak auseinanderbauen und Streak Display tauschen) und das nötige Werkzeug war beim Ersatzdisplay dabei, sollte also schaffbar sein. Ist es auch, nur leider kommt auf dem Display nun kein Bild, was sich sicher mit einem erneuten Auseinanderbauen beheben ließe. Das spare ich mir aber, denn beim fummeligen lösen der Klebestellen habe ich leider auch die Anbindung der Funktionstasten (Home, Zurück, Menü) abgerissen, was sich nicht ohne weiteres fixen lässt. Mist, ein teures Grab nach nur fünf Monaten.

Ich könnte nun für 340€ inkl. Versand einfach ein neues Streak bestellen, aber ich habe mich für ein HTC Desire HD für 404€ inkl,. Versand entschieden. Warum? Nach meinem sehr positiven Ersteindruck kann ich nun ein paar weitere Eigenschaften des Streak aufzählen, die mitunter durchaus lästig sind.

Mein Gerät war wohl ein Montagsgerät und hatte von Anfang an die Macke, dass es bei leichtester mechanischer Belastung einfach neustartete. Das ließ sich auf ein Minimum reduzieren, indem ich die beiden Kontakte des Akkudeckels mit einem kleinen Draht kurzschloss. Fummelig, aber funktionierte meistens. Trotzdem startete es gelegentlich beim in die Jackentasche stecken einfach neu, was wahrscheinlich daran lag, dass ich das Drähtchen nur um die Kontakte gewickelt und nicht festgelötet hatte. Insgesamt verschmerzbar, aber jedes Mal ein Stich ins Besitzerherz.

Ärgerlicher war da schon, dass das riesige 5"-Display ein unhandlich großes Gerät bedingt. Am wenigsten stört mich das beim Telefonieren, selbst wenn ich nicht, wie unterwegs fast immer, mit dem Headset telefoniere. Das sieht halt doof aus, funktioniert aber prima. Im Winter war das alles auch kein Problem, denn meine Jackentasche ist groß genug. Jetzt bei gutem Wetter aber merke ich, dass ein so großes Gerät in der Hosentasche schon aufträgt. Das wäre auch noch OK, wenn ich mir dabei nicht Sorgen um die mechanische Belastung machen würde, denn ein Bein ist nun mal rund und Hosentaschen eng. Auch verschmerzbar, denn auf 5" surft es sich hervorragend. Auch als Navi in der mit 45€ nicht ganz billigen Autohalterung hat es sich hervorragend gemacht. Leider kann man 5" nicht sinnvoll hochkant betreiben, weil es dann für zwei Hände zu schmal, für eine Hand aber zu breit ist. 5", einen Tacken zu groß.

Mit dem Transport in der Hosentasche kommt aber noch ein lästiger Aspekt meines Geräts ins Spiel: Wenn ich es nah am Körper mit dem Display zum Körper hin transportiert habe, reagierte danach der Touchscreen für ein paar Sekunden bis Minuten nicht oder nur seeehr sporadisch. Entsperren oder Gespräche annehmen ging dann nicht. Auch damit konnte ich leben, indem ich es – riskant, riskant – nur mit dem Display vom Körper weg transportiert habe. Ich glaube, die Körperwärme war hier das Problem.

Das war noch nicht alles: Der Kopfhörerausgang rauscht so laut, dass Musik auf leisestmöglicher Einschlaf-Lautstärke gerne mal vom Rauschen überdeckt wird. Wenigstens ist das ein angenehmes unauffälliges Rauschen, damit konnte ich also auch leben. Ich weiß nicht, ob der letzte Punkt alle Android-Telefone betrifft, aber gelegentlich haben vor allem Google Maps und manchmal auch der Browser das Telefon so ausgelastet, dass die Musik stark stotterte und das Telefon fünf Minuten lang gar nicht mehr reagierte, auch nicht auf das Pause-Kommando für die Musik, die derweil weiterstottert. Das kam zwar nicht so häufig vor (alle zwei bis drei Wochen mal), aber das war der für mich nervigste Aspekt an der ganzen Streak-Experience. Irgendwas lag da im Argen.

Das alles sind neben den im Ersteindruck beschriebenen Lästigkeiten wie dem PDMI-Ladeanschluss gute Gründe, nicht erneut ein Streak zu kaufen. Momentan 340€ inkl. Versand sind zwar überschaubar und mein Car-Kit war auch nicht billig, aber die Gefahr, wieder so ein Montagsgerät zu bekommen, ist gegeben und die anderen Kritikpunkte hinterlassen in der Summe ein lediglich gemischtes Bild. Den endgültigen Todesstoß hat sich Dell aber selber gegeben, denn das Service-Angebot für einen Display-Tausch in Höhe von 350€ ist eine unfassbare Dreistigkeit, ich bin deswegen immer noch nachhaltig sauer auf Dell. Dass ein Display mal kaputt geht passiert, besonders, wenn es mit 5" eine so große Angriffsfläche bietet. Dass aber eine Reperatur fast den Neuwert erreicht bzw. inzwischen sogar darüber liegt, ist schlicht nicht zu rechtfertigen. Keine Ahnung, ob HTC das anders handhabt, aber Dell hat mich diesbezüglich schwer enttäuscht.

Trotzdem mochte ich mein Streak und bin ein wenig traurig, dass es mich nur fünf Monate begleiten durfte. Alles in allem ein tolles Gerät mit dem besonderen Etwas. Ruhe sanft.

Ein Desire HD kaufe ich übrigens deswegen, weil ich nach den Erfahrungen mit einem 5" Gerät ein 4,3" Display für den Sweet-Spot halte. Zudem war ich mit meinen bisherige HTC-Geräten soweit sehr zufrieden, weil sie aus dem miesen Windows Mobile noch einiges herausholen konnten und die Hardware stets sehr robust und gut verarbeitet war. Auch das Desire, das ich neulich gekauft habe, gefällt mir richtig gut, die Sense-Oberfläche macht richtig Spaß. Das Google Nexus S war ein weiterer heißer Kandidat und mit 340€ sogar deutlich günstiger. Vor allem aber kommen da regelmäßig und zeitnah Android-Updates. zudem mag ich das leicht nach innen gebogene Display. Aber das 4,3" Display hat dann doch das Rennen gemacht.

P.S. Die Tage wird das Car-Kit bei eBay auftauchen und auch das defekte Gerät (mit dem nagelneuen Tauschdisplay), wenn ich weiß, ob und wie ich es löschen kann. Wer vorher zuschlagen will, meldet sich, ich mache einen fairen Preis.