Google hat auf seiner Entwickler-Messe Google I/O im kalifornischen Mountain View verkündet, Erstausrüster (OEM) von Android-Geräten künftig vertraglich zu regelmäßigen Sicherheits-Updates zu verpflichten. Über die Frequenz und die genauen Bedingungen ist allerdings noch nichts bekannt. Der einzige Hersteller der seine Gerätereihen – Nexus und Pixel – zuverlässig und pünktlich monatlich mit Sicherheits-Updates versorgt ist Google selbst. Alle anderen Hersteller handeln in dieser Hinsicht nach Gutdünken und oft lückenhaft und mit großer Verzögerung.

Umdenken

Im Jahr 2015 hatten Lücken in Androids Stagefright-Engine, einer Komponente zum Abspielen und Streamen von Medien auf Android-Geräten, Google zum Umdenken gebracht. Der Konzern beschloss, Android-Sicherheits-Updates künftig monatlich für die Erstausrüster zur Verfügung zu stellen. Viele große Hersteller sagten zu, diese auch zeitnah ausliefern zu wollen. Die vorher sehr schlechte Versorgung mit Updates hat sich seitdem verbessert, jedoch ist es vielfach beim Wollen geblieben.

In den Jahren 2016 und 2017 wurden immerhin jeweils rund 30 Prozent mehr Geräte mit Updates versorgt als im Jahr zuvor. Trotzdem sind von den mehr als zwei Milliarden Android-Smartphones viele mit gravierenden Sicherheitslücken behaftet, weil die Hersteller die Geräte nicht mehr mit Updates versorgen. Hier will Google nun mit vertraglichem Druck für mehr Sicherheit zumindest bei aktuellen Geräten sorgen.

Project Treble

Vor ziemlich genau einem Jahr hatte Google die Bedingungen dafür durch die Ankündigung des Project Treble verbessert. Treble stellt eine stabile Hardware-Abstraktionsschicht für Android dar, die Herstellern bei jeder neuen Android-Version unter anderem alle Treiber portieren zu müssen. Realisiert wird das über eine niedrig angesiedelte Schnittstelle, die Google  schlicht »Vendor Interface« nennt.

Patches ausgelassen

Allerdings zeigt eine aktuelle Studie der deutschen Security Research Labs, dass selbst Hersteller, die monatlich Updates ausliefern, oft wichtige Patches auslassen, ihre Anwender aber mit falschen Angaben in Sicherheit wiegen. Nun reagiert Google auf die immer noch katastrophalen Zustände bei der Android-Sicherheit. Auf der Google I/O erklärte David Kleidermacher, Chef der Android-Sicherheit, Änderungen am Sicherheitsmodell der kürzlich vorgestellten nächsten Version Android P würden die Sicherheit von Android wesentlich verbessern.

»Wir haben auch daran gearbeitet, Sicherheitspatches in unsere OEM-Verträge einzubauen. Nun wird dies wirklich zu einem massiven Anstieg der Anzahl der Geräte und Benutzer führen, die regelmäßig Sicherheitspatches erhalten.« David Kleidermacher

Solange allerdings die Bedingungen dieser Vertragsklauseln nicht bekannt sind, lässt sich nicht absehehen, wieviel davon Wunschdenken oder Augenwischerei ist und wie viel davon wirklich beim Endkunden ankommt.

 

Verwandte Themen

Google+ macht zu. Wohin gehst Du?
views 681
Bild: Openbook PresskitAn G+ scheiden sich die Geister. Immer wieder ist zu lesen, es sei von Beginn an zum Scheitern verurteilt gewesen. Auch di...
Google Plus: Das Ende naht
views 539
Photo by Paweł Czerwiński on UnsplashGoogle hat in den letzten Tagen das nahende Ende seines sozialen Netzwerks G+ präzisiert. Demnach ist am 2. ...
Googles Fuchsia OS unterstützt Android-Apps
views 366
Bild: Google | Quelle: Flickr Lizenz: CC0 1.0Die Webseite 9To5Google verfolgt akribisch die Aktivitäten von Google in Bezug auf Entwicklungen im...
Zwei Jahre LineageOS
views 583
Logo: LineageOSLineageOS ist der legitime Nachfolger von CyanogenMod, dessen kommerzielle Version von den Entwicklern vor zwei Jahren in den Sand...
Google+ ist tot. Was sind die Alternativen?
views 4.7k
Bild: Diaspora Banner | Quelle: DiasporaGoogle beweist wieder einmal, dass ihm die Kunden (denn das sind wir) völlig egal sind. Wenn es Gründe gibt...

Beitrag kommentieren