Der Tipp Programme nur aus vertrauenswürdigen Quellen zu saugen scheint sich langsam zu überleben. Es gibt keine :confused:

http://blogs.zdnet.com/security/?p=5602

http://www.theregister.co.uk/2010/03/18/energizer_battery_trojan_returns/
http://www.theregister.co.uk/2010/03/19/energizer_battery_trojan_remains/

Hier passt vielleicht auch folgende Meldung:
Der Smartphone-Bot, der mit dem App-Update kam (http://www.heise.de/security/meldung/Der-Smartphone-Bot-der-mit-dem-App-Update-kam-949544.html)

Vodafone hat in Spanien doch auch neulich einige Smartphones ausgeliefert, auf deren beiligender SD-Karte sich irgendein Windows-Virus befunden hat.

http://www.heise.de/mobil/meldung/Erneut-Mariposa-Virus-auf-Vodafone-Smartphones-959815.html

Wenn verseuchte Rechner zum Erstellen eines Master-Images verwendet werden, wird sowas früher oder später passieren.

Bezüglich des Links meines Vorposters ist zu sagen, dass der Anwender in diesem Fall die fragliche Software eigenhändig installiert hat. Wenn diese von den Entwicklern mit einem Update dann nachträglich mit bösartigen Funktionen ausgestattet wird, lag der Fehler bereits in der Einschätzung der Vertrauenswürdigkeit des Anbieters. Wenn ich einer Person den Schlüssel zu meiner Wohnung überlasse und ich einige Zeit später feststellen muss, dass diese unter Verwendung des Schlüssels in meiner Abwesenheit leergeräumt wurde, habe ich mich in der entsprechenden Person eben getäuscht. Vergleichbares passiert wahrscheinlich jedem mindestens ein mal in seinem Leben. Dennoch kann man aus einem solchen Vorkommnis nicht schließen, dass es überhaupt keine vertrauenswürdigen Menschen auf diesem Planeten gibt. Niemand würde darauf kommen, dem Besitzer der Kneipe, in der ich besagte Person kennen gelernt habe, hier irgendeine Art von Schuld zu unterstellen. Trotzdem unterstellen viele Google, als Betreiber des Android-Stores, eine gewisse Mitverantwortlichkeit. Dies halte ich für Unfug.

Zurück zu den vertrauenswürdigen Quellen: Voraussetzung dafür, dass ich eine Softwarequelle als vertrauenswürdig einstufe, ist ja nicht nur meine Überzeugung, dass die Betreiber dieser Quelle selbst keine bösartigen Absichten haben. Auch meine Einschätzung ihrer technischen Kompetenz zur Verhinderung von Manipulationen jeglicher Art spielt hier eine Rolle. Jemand kann ein noch so gutes Herz haben, wenn er unfähig ist, seinen Distributionsweg vor Manipulationen zu schützen, ist er als Quelle für Software schlicht nicht vertrauenswürdig.

Eine 100-prozentige Sicherheit kann natürlich niemand garantieren. Also muss man zwischen Nutzen und Risiko abwägen. Das Risiko hängt hier zum großen Teil vom Anwendungsgebiet der Software, also deren Möglichkeit Schaden anzurichten, ab. Je mehr vertrauliche Informationen im Zugriffsbereich der Software liegen, desto eher entscheide ich mich im Zweifel gegen eine Verwendung einer Software.

Wenn es zu einer potenziellen Kompromittierung einer Quelle gekommen ist, erwarte ich vom entsprechenden Betreiber, dass er mich so schnell wie möglich darüber informiert und mir den möglichen Worst-Case schildert. Diese Informationspolitik spielt in Hinblick auf die Vertrauenswürdigkeit einer Quelle ebenso eine Rolle. Wer bei einem potenziellen Sicherheitsproblem die Nutzer lieber einmal zuviel aufklärt, schneidet deutlich besser ab, als jemand, der (aufgrund von Angst vor schlechter Presse o.ä.) versucht einen Vorfall zu vertuschen, weil er der Meinung ist, dass ja noch niemand zu Schaden gekommen sei.

Nach diesen Maßstäben gibt es eben doch Quellen, deren Vertrauenswürdigkeit ich so einschätze, dass ich meine Software aus ihnen beziehen kann.