Google hat auf seiner Entwickler-Messe Google I/O im kalifornischen Mountain View verkündet, Erstausrüster (OEM) von Android-Geräten künftig vertraglich zu regelmäßigen Sicherheits-Updates zu verpflichten. Über die Frequenz und die genauen Bedingungen ist allerdings noch nichts bekannt. Der einzige Hersteller der seine Gerätereihen – Nexus und Pixel – zuverlässig und pünktlich monatlich mit Sicherheits-Updates versorgt ist Google selbst. Alle anderen Hersteller handeln in dieser Hinsicht nach Gutdünken und oft lückenhaft und mit großer Verzögerung.

Umdenken

Im Jahr 2015 hatten Lücken in Androids Stagefright-Engine, einer Komponente zum Abspielen und Streamen von Medien auf Android-Geräten, Google zum Umdenken gebracht. Der Konzern beschloss, Android-Sicherheits-Updates künftig monatlich für die Erstausrüster zur Verfügung zu stellen. Viele große Hersteller sagten zu, diese auch zeitnah ausliefern zu wollen. Die vorher sehr schlechte Versorgung mit Updates hat sich seitdem verbessert, jedoch ist es vielfach beim Wollen geblieben.

In den Jahren 2016 und 2017 wurden immerhin jeweils rund 30 Prozent mehr Geräte mit Updates versorgt als im Jahr zuvor. Trotzdem sind von den mehr als zwei Milliarden Android-Smartphones viele mit gravierenden Sicherheitslücken behaftet, weil die Hersteller die Geräte nicht mehr mit Updates versorgen. Hier will Google nun mit vertraglichem Druck für mehr Sicherheit zumindest bei aktuellen Geräten sorgen.

Project Treble

Vor ziemlich genau einem Jahr hatte Google die Bedingungen dafür durch die Ankündigung des Project Treble verbessert. Treble stellt eine stabile Hardware-Abstraktionsschicht für Android dar, die Herstellern bei jeder neuen Android-Version unter anderem alle Treiber portieren zu müssen. Realisiert wird das über eine niedrig angesiedelte Schnittstelle, die Google  schlicht »Vendor Interface« nennt.

Patches ausgelassen

Allerdings zeigt eine aktuelle Studie der deutschen Security Research Labs, dass selbst Hersteller, die monatlich Updates ausliefern, oft wichtige Patches auslassen, ihre Anwender aber mit falschen Angaben in Sicherheit wiegen. Nun reagiert Google auf die immer noch katastrophalen Zustände bei der Android-Sicherheit. Auf der Google I/O erklärte David Kleidermacher, Chef der Android-Sicherheit, Änderungen am Sicherheitsmodell der kürzlich vorgestellten nächsten Version Android P würden die Sicherheit von Android wesentlich verbessern.

»Wir haben auch daran gearbeitet, Sicherheitspatches in unsere OEM-Verträge einzubauen. Nun wird dies wirklich zu einem massiven Anstieg der Anzahl der Geräte und Benutzer führen, die regelmäßig Sicherheitspatches erhalten.« David Kleidermacher

Solange allerdings die Bedingungen dieser Vertragsklauseln nicht bekannt sind, lässt sich nicht absehehen, wieviel davon Wunschdenken oder Augenwischerei ist und wie viel davon wirklich beim Endkunden ankommt.

 

Verwandte Themen

Edward Snowdens Überwachungs-App
views 11
Bild: E. Snowden   NSA-Whistleblower Edward Snowden steht hinter einer Android-Überwachungs-App mit dem Namen Haven. Haven ist eine Open-S...
Ubuntu Phones sollen Android Apps ausführen
views 20
Screenshot: ft   Vor wenigen Tagen veröffentlichte das Projekt UBports mit Ubuntu Touch 15.04 OTA-3 das dritte Release für unterstützte Ub...
eelo: Android ohne Google-Apps und -Dienste
views 15
Screenshot: ft   Mit eelo stellt sich ein weiteres Projekt vor, das ein an Android angelehntes mobiles Betriebssystem ohne die üblichen Zu...
Android erhält mit Files Go! einen eigenen Dateima...
views 9
Bild: Google Google hat die App Files Go! aus dem Beta-Stadium entlassen und beschert Android damit zumindest einen rudimentären Dateimanager. Das...
»LineageOS for microG« befreit Google Apps
views 40
Logo: LineageOS   Jetzt mal von vorne: LineageOS ist ein Fork von CyanogenMod, das selbst eine Alternative zu Android war. Nachdem die aus...

Beitrag kommentieren