Google bekommt trotz jahrelanger Bemühungen die Update-Politik seines Android -Ökosystems nicht unter Kontrolle.
Vor einer Sicherheitslücke in zahlreichen Android-Geräten, die sich nicht nur aktiv nutzen lässt, warnt Googles Project Zero. Die Lücke wird zudem wahrscheinlich bereits länger als sogenannter Zero-Day-Exploit für Malware gehandelt. Jedoch haben Google und zahlreiche weitere Gerätehersteller diesen spätestens seit August dafür bereitstehenden Patch immer noch nicht als Update verteilt. Es fällt extrem schwer, Google hier noch ein Versehen zuzugestehen.
Exemplarisch zeigt dieser Fall, dass selbst 15 Jahre nach der Ankündigung von Android die Sicherheit des kompletten Ökosystems weiterhin nachrangig behandelt wird. Für wirklich grundsätzliche Probleme scheint weiter keine Besserung in Sicht, solange sich die involvierten Hersteller weiterhin an technischen Verrenkungen und ästhetischen Ideen versuchen wie in den letzten Jahren.
Das leidige Update-Thema
Wie und in welchem Umfang Updates des Betriebssystems auf bestehende Geräte verteilt werden- darüber machte sich besonders in der Anfangszeit von Android scheinbar niemand ernsthafte Gedanken. Das Warten auf Updates glich für viele Nutzer einer Lotterie und im Zweifel war es einfacher, sich schlicht ein neueres Android-Gerät zu kaufen. Über Jahre wurden Schlagzeilen mit der Berichterstattung gefüllt, wann welches Gerät Updates erhält, mit wie viel Verzögerung im Vergleich zu Google und wie viele der Android-Geräte eine aktuelle Version verwenden. Um diese Situation zu verbessern, traten Android-Mods wie Cyanogenmod früh an. Wann welches der Geräte ein Update erhält, wird von den Herstellern auch im Jahr 2022 immer noch lange angekündigt.
Veränderungen, die nur langsam und schrittweise vonstatten gehen
Das Sicherheits- und Update-Konzept für Android hat sich erst mit der Stagefright-Lücke geändert. Dies konnte anfangs eigentlich nur mit Yolo beschrieben werden. Damals waren davon wohl Millionen oder gar Milliarden Android-Geräte von diesen Varianten betroffen.
Geräte ließen sich über die Lücke komplett übernehmen. Schnell war klar, dass die hauseigenen Android-Forks der Hersteller, deren Hardwareabstraktionen und weitere Änderungen eine adäquate Reaktion auf Stagefright deutlich erschweren. Als Reaktion auf Stagefright im Jahr 2015, kündigten Google und Samsung einen monatlichen Patch-Day an. Kurz darauf folgte ihnen LG. Das erste Monatsupdate für Android erschien tatsächlich nur wenige Monate später und Google nutzte dies bald routiniert, auch um weitere gravierende Sicherheitslücken zu beheben, wie etwa Dirty Cow.
Die Nexus- und Pixel-Reihe galten aufgrund des Umgangs von Google mit den Monatsupdates schnell als Referenz für sichere Android-Geräte. Häufig verteilten andere Hersteller diese Monatsupdates nur mit Verzögerungen, jedoch nicht für alle Geräte und wenn, dann nur über eine kürzere Zeitspanne als Google – oder sogar die iPhone-Konkurrenz durch Apple.
Mehr als 13 Jahre nach der Ankündigung von Android, also im Dezember 2020, konnte sich Google zusammen mit Qualcomm zu einer Updateverpflichtung über einen Zeitraum von vier Jahren abringen. Große Hersteller wie Samsung und Xiaomi folgten diesem Beispiel. Allgemeingültig ist dies jedoch nicht. Asus verspricht sich für die ROG Phones bei Preisen über 1.000 Euro weiterhin nur dürftige zwei Jahre Updates.