LineageOS - My first builds

I just compiled my first LineageOS system for my Nexus 5. Works like charm!

The required steps are well documented on the LineageOS Wiki page. I just followed the steps on my Ubuntu Mate 16.04. The process itself was straight-forward but took some time. Including downloading all the repos and building it took me something like 3 hours.

I've created builds for hammerhead (Nexus 5) and manta (Nexus 10). I would also like to build for n8000, but since that device is not officially supported, I still need to figure some things out. But thanks to lirokoa who provides the necessary device files it should be still possible to build it, although Samsung has terminated the Software support for the Galaxy Tab 10.1.

In the first attempt I forgot to extract the proprietary blobs. Surprisingly the build succeeded, but was useless. After flashing the phone was stuck in the Google screen. Not cool.
In the second attempt I just extracted the binaries, and rebuild the process. With enabled CCache, this was done within 20 Minutes.

Stability

I read some good stories about the usability and stability of the current LineageOS builds (Nougat 7.1). I've tested it now for several days on a spare Nexus 5 (but without Sim card) and didn't noticed any issues in the usability.

It seems that the current available build on the download pages is already ready to use for your daily device. But not too hasty, it's still a nightly build, you should be able to recover the phone yourself, if you're jumping into that adventure ­čÖé

 

I'm honestly considering updating my major phone to Lineage soon.

Download my builds

I uploaded the builds to ftp://feldspaten.org/LineageOS/ into the folder hammerhead/ on my brand new configured ftp server.

I'm also interested to build LineageOS for the Nexus 10 (manta) and Galaxy Tab 10.1 (n8000) in order to support the project and some people who want to have it too ­čÖé

Stagefright Vulnerability

Die gehypte "Android-Superl├╝cke" Stagefright wird von Joshua Drake auf der BlackHat 2015 in Las Vegas vorgestellt. Es scheint ein Totalschaden zu sein, das mehrere Bugs ausnutzt um sich kompletten Zugang zum Smartphone zu verschaffen. Das knifflige ist, dass eine manipulierte MMS oder Hangouts Meldung ausreicht. Benutzerinteraktion ist nicht erforderlich.

Das sind die Infos die wir zur Zeit haben.

Ich denke auch, dass bis die Updates f├╝r alle zur Verf├╝gung stehen, Cyangenmod der einzig wirksame Schutz gegen die L├╝cke ist. Die haben sie n├Ąmlich schon gefixt. Die Workarounds helfen zwar die MMS-L├╝cke zu schlie├čen, ob dadurch aber auch Hangouts-Meldungen gefixt werden, kann ich zur Zeit nicht beurteilen. Betrachtet das ganze als eine Best-Efford Ma├čnahme und nicht als einen Ersatz f├╝r ein sauberes Update!

Workaround

Es gibt zur Zeit zwei Wege, um die Angriffsfl├Ąche zu reduzieren

  • Automatischen MMS-Download deaktivieren
    Achtung: Bis der Bug full disclosed wurde, kann ich jedoch nicht sagen, ob dadurch das Problem wirklich behoben wird. Es reduziert die Wahrscheinlichkeit ja, ist aber kein sicherer fix!

├ľffnen Sie die Hangouts App auf Ihrem Android-Telefon.
Tippen Sie auf Men├╝: Hangouts Android menu icon
Tippen Sie auf Einstellungen.
Tippen Sie auf SMS.

We don't do any pre-processing that involves stagefright. There are no technical details at all available about this vulnerability (for maximum hype), but you'd have to physically tap on the media and then click through a warning about playing media insecurely before stagefright got involved.

Das hei├čt, ein sauber installiertes TextSecure und ein deaktiviertes Hangouts sollten die Verwundbarkeit f├╝r Stagefright deutlich senken. Ob die L├╝cke durch Hangouts-Meldungen weiterhin ausgenutzt werden kann, kann ich zur Zeit nicht beurteilen.

  • Cyanogenmod
    Stagefright benutzt eine Reihe von bereits gemeldeten Bugs, die in den aktuellen Nightlies von Cyanogenmod (hoffentlich) bereits gefixed sind. DAS ist die einzig wirklich wirksame Ma├čnahme gegen Stagefright!

Leute, installiert euch TextSecure! Die App verschl├╝sselt euren gesamte Nachrichtenverkehr transparent (das hei├čt ihr merkt davon nichts), ist sehr einfach zu bedienen und f├╝r Android und iOS verf├╝gbar (nennt sich dort Signal).

Und es behebt m├Âglicherweise die Stagefright Sicherheitsl├╝cke, die in den kommenden Wochen noch genug gehyped werden wird. ... Zumal die DEFCON Hacking Conference in Las Vegas ansteht und das ein Publikumsmagnet sein wird ...

Auf die Gnade der Hersteller angewiesen

Die L├╝cke ist ein Totalschaden, der hoffentlich bald gefixed wird. Google hat f├╝rs Nexus 6 bereits Fix erstellt, die hoffentlich auch bald zur Verf├╝gung stehen werden. Stagefright benutzt eine Reihe von bereits gemeldeten Sicherheitsl├╝cken:

  • CVE-2015-1538
  • CVE-2015-1539
  • CVE-2015-3824
  • CVE-2015-3826
  • CVE-2015-3827
  • CVE-2015-3828
  • CVE-2015-3829

(Quelle: Google+ Post von Cyanogenmod)

Google ist bei seinen Nexus Ger├Ąten recht zuverl├Ąssig was Patchen von Sicherheitsl├╝cken anbelangt. Besitzer von anderen Herstellern sind auf deren Gnade angewiesen und werden sehr h├Ąufig einfach im Stich gelassen. Smartphones, die keine Updates mehr bekommen, sollten sich schleunigst nach einer Custom ROM wie Cyanogenmod oder OmniRom f├╝r ihre Ger├Ąte umschauen. Mit denen ist man ohnehin wesentlich besser dran, sofern man auf die Garantie des Herstellers verzichten kann (kann man in der Regel nach 1 Jahr ohnehin). Man muss ehrlich sagen, dass die Updatesituation bei Android-Smartphones teilweise schon sehr prek├Ąr ist ­čÖü

Links

Update - 06. August

[via heise] Google liefert anscheinend ab heute die ersten Patches f├╝r Stagefright aus und f├╝hrt den monatlichen Patchday ein. K├╝nftig will Google einmal im Monat ihre Ger├Ąte mit Sicherheitsupdates und Patches versorgen.