Android und das Update-Problem

Nach der "Mutter aller Sicherheitslücken" in 2015, dem sogenannten Stagefright-Bug, versprachen die Hersteller Besserung in Form von monatlichen Sicherheitsupdates. Allerdings gibt es nur wenige Firmen, die diese Ankündigung in die Tat umgesetzt haben.

Die allermeisten Android-Smartphones haben ein Sicherheitsproblem. Das liegt weniger an Google, das seit der im letzten Jahr unter der Bezeichnung Stagefright bekannt gewordenen und wegen ihre Schwere als „Mutter aller Android-Sicherheitslücken“ titulierten Schwachstelle monatliche Sicherheitsaktualisierungen für sein Mobilbetriebssystem veröffentlicht, sondern an den Smartphone-Herstellern, die es nicht schaffen, diese Updates zeitnah für ihre Geräte auszuliefern.

Google und Samsung liefern monatliche Sicherheitsupdates

Neben Google, das besagte Sicherheitspatches für aktuelle Pixel-Modelle als OTA-Updates bereitstellt, ist lediglich Samsung in der Lage, hierzulande monatliche Sicherheitsaktualisierungen für seine Flaggschiff-Modelle zu veröffentlichen. Darunter fallen die Smartphones Galaxy S7, S7 Edge, S6, S6 Edge, S6 Edge Plus und S5,  sowie Galaxy Note 4, 5 und Edge. Zudem sollen die Tablets Tab S, S2 und die im Januar vorgestellte Neuauflage des Mittelklasse-Smartphones Galaxy A5 Android-Patches erhalten. Während Google die Aktualisierungen jeweils zu Beginn des Monats veröffentlicht, benötigt der größte Android-Smartphone-Hersteller circa drei Wochen, um diese anzupassen und für seine Smartphones bereitzustellen.

HIGHLIGHT

Android 6.0 Marshmallow und microSD-Card-Support

Den Zugriff auf microSD-Cards hat Google in der jüngsten Android-Version erneut geändert. Zahlreiche Apps kommen damit noch nicht klar. Allerdings ist auch ein neues Feature hinzugekommen.

Inzwischen gibt es Anzeichen, dass nun auch andere große Hersteller wie HTC, LG und Sony das Schließen von Sicherheitslücken wichtiger nehmen als in den vergangenen Monaten. HTC liefert beispielsweise das Juni-Update bereits in den USA aus. LG hat diese Woche eine Webseite für Informationen zur Sicherheit seiner Mobilgeräte veröffentlicht. Unter der E-Mail-Adresse product.security@lge.com können Anwender und Entwickler, die glauben, eine mögliche Sicherheitslücke in einem LG-Mobilprodukt entdeckt zu haben, den Hersteller informieren.

ZDNet.de ist dieser Aufforderung nachgekommen und hat eine Sicherheitslücke an LG gemeldet, die im Browser der aktuellen Android-Version für das G3 und G4 steckt. Hierbei handelt es sich um die sogenannte Logjam-Lücke, die die Verschlüsselung von HTTPS-Verbindungen schwächt und bereits im Mai 2015 entdeckt wurde. Anwender können sich durch die Nutzung eines anderen Browser wie Firefox vor dieser Lücke schützen.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Das Beispiel zeigt auch, dass es nicht ausreicht, monatliche Sicherheitsupdates von Google einzuspielen, um ein Höchstmaß an Schutz zu erreichen. Die Hersteller müssen überdies auch die selbst entwickelte Software auf Fehler überprüfen. Dass dies im Fall von LG nicht geschehen ist, spricht nicht unbedingt für das Sicherheitsbewusstsein der Firma. Schließlich ist die Logjam-Lücke bereits ein Jahr bekannt. Dabei wäre es so einfach, diesen Fehler zu entdecken. Ein Browsertest bei Sicherheitsanbieter Qualys reicht dafür aus.

Sony will laut Google ebenfalls monatliche Sicherheitsupdates bereitstellen. Bisher ist das allerdings noch nicht gängige Praxis. Immerhin liefert der Hersteller gerade für zahlreiche Smartphones Android 6.0 Marshmallow aus. Dazu gehören die Modelle Xperia Z5, Z5 Compact, Z5 Premium, Z4 Tablet, Z3+, Z3, Z3 Compact, Z3 Tablet Compact, Z2, Z2 Tablet, M5, C5 Ultra, M4 Aqua und C4. Dass für Sony die Beschleunigung des Updateprozesses besonders wichtig ist, zeigt sich auch daran, dass der Hersteller für das Z3 bereits eine Developer-Version von Android N bereitstellt. Experimentierfreudige Anwender und Entwickler können so schon einen Blick auf die nächste Android-Version werden, bevor diese im Herbst offiziell erscheint und unter anderem eine verbesserte Sicherheitsarchitektur bietet.

LG-Browser mit Logjam-Lücke (Screenshot: ZDNet.de)LG-Browser mit Logjam-Lücke (Screenshot: ZDNet.de)

Mobilfunkprovider bremsen

Bis Updates der Smartphone-Hersteller allerdings bei den Nutzern ankommen, kann einige Zeit vergehen, da bei Geräten, die über einen Mobilfunkprovider verkauft wurden, zunächst ein Test des Updates durch den Provider erfolgt. Erst nach dessen Freigabe erfolgt die Auslieferung. Google befindet sich diesbezüglich  in Gesprächen mit den Mobilfunkanbietern. Verizons Tests haben in der Vergangenheit beispielsweise Monate in Anspruch genommen. Sie sind auf Googles Drängen hin inzwischen um einige Wochen beschleunigt und sollen weiter verkürzt werden. Sprint erklärte, es habe sein Prüfverfahren von 12 Wochen auf „ein paar Wochen“ reduziert. Google versucht die Netzbetreiber zu überzeugen, zumindest Sicherheitsupdates von der vollständigen und kostspieligen Testserie auszunehmen.

Sicherheitsstatus abfragen

Android-Anwender erfahren den aktuellen Sicherheitsstatus über Einstellungen – Über das Telefon – Android-Sicherheitspatch-Ebene. Auf Samsung-Geräten gelangt man über Geräteinformationen – Softwareinfo zu dieser Information. Eine Besonderheit stellen Geräte von HTC dar, die den aktuellen Sicherheitsstatus nicht anzeigen. Getreu dem Motto: Lieber dem Anwender nicht auch noch zeigen, wie alt unsere Updates sind. Mit externen Tools wie Aida64 oder CPU-Z kann man aber trotzdem den aktuellen Sicherheitspatch-Level ausfindig machen.

Wie lange gibt es Updates

Nur wenige Hersteller geben Auskunft über den Zeitraum, in dem Geräte aktualisiert werden. Pixel-Telefone von Google erhalten neue Android-Versionen mindestens zwei Jahre lange, nachdem das Gerät erstmals im Google Store angeboten wurde. Mit Sicherheitsaktualisierungen werden die Geräte drei Jahre lang ab der ersten Verfügbarkeit respektive 18 Monate lang ab der letzten Verfügbarkeit im Google Store versorgt – je nachdem, welcher Zeitraum länger ist.

Samsung macht zwar keine offiziellen Angaben, was die Verfügbarkeit von neuen Android-Versionen für seine Smartphones anbelangt. Erfahrungsgemäß kann man aber davon ausgehen, dass diese wie die Nexus-Geräte zwei Jahre lang neue Android-Versionen erhalten. Im Rahmen seines im März vorgestellten Enterprise Device Program garantiert es außerdem für seine Business-Smartphones wie die in diesem Jahr vorgestellten Galaxy S7 und S7 Edge eine zweijährige Warenverfügbarkeit sowie üblicherweise monatliche Updates. Letztere werden drei Jahre lang für ausgewählte Business-Smartphones garantiert.

Google versucht den Update-Prozess der Smartphone-Hersteller zu beschleunigen. Angeblich droht es mit der Veröffentlichung einer bislang intern geführten Rangliste, die führende Smartphonehersteller hinsichtlich der Aktualisierung ihrer Geräte bewertet. Druck entsteht auch seitens der US-Behörden, die sich für den laxen Umgang mit bekannten Schwachstellen seitens der Hersteller interessieren.

Stagefright: neue Schwachstellen im Monatsrhythmus

Wer die Stagefright-Lücken ausschließlich mit dem Jahr 2015 verbindet, begeht einen Fehler. Noch immer werden Schwachstellen in der Multimedia-Komponente von Android entdeckt. Die monatlichen Security-Bulletins von Google und Samsung zeigen dies. Anwender können mit einer App von Stagefright-Entdecker Zimperium überprüfen, ob ihr Gerät von den Schwachstellen betroffen ist.

Android-Sicherheitspatch-Level (Screenshot: ZDNet.de)Je älter Android-Sicherheitspatch-Level, desto größer ist die Anzahl von Sicherheitslücken (Screenshot: ZDNet.de)

Fazit

„Ein edler Mensch beurteilt niemanden nur nach seinen Worten. In einer kultivierten Welt blühen Taten, in einer unkultivierten Welt Worte.“ Beurteilt man die Smartphone-Hersteller nach diesem Leitspruch von Konfuzius, fällt das Urteil in Bezug auf die versprochene Bereitstellung monatlicher Sicherheitsupdates größtenteils vernichtend aus. Google und Samsung sind derzeit die einzigen, die ihre Ankündigung regelmäßiger Updates hierzulande in die Praxis umgesetzt haben. Ein Umstand, den private Konsumenten wie Firmenanwender bei der Beschaffung neuer Smartphones bedenken sollten.

Es bleibt zu hoffen, dass auch andere Hersteller diesem Beispiel bald folgen werden. Es kann doch wirklich nicht so schwer sein, die von Google bereitgestellten Patches in die eigene Firmware zeitnah zu integrieren. Neben Google und Samsung schaffen das immerhin auch die vielen freiwilligen Entwickler der größten Android Custom ROM, CyanogenMod – und zwar für zahlreiche Mobilgeräte, unter anderen auch für das bereits 2012 vorgestellte Nexus 7, das trotz Android 5.1.1 den aktuellen Sicherheitspatch-Level von Juni 2016 aufweist. So sieht Support aus.

Immerhin scheint sich – auch auf den Druck von Google und der US-Behörden hin – nun etwas zu ändern. Mit LG bietet neben Google und Samsung ein weiterer Smartphone-Hersteller eine spezielle Webseite rund um das Thema Sicherheit an. Diesem Beispiel sollten die anderen Hersteller folgen und damit Transparenz schaffen, anstatt sich über Sicherheitsprobleme auszuschweigen.

Themenseiten: Android, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

9 Kommentare zu Android und das Update-Problem

Kommentar hinzufügen
  • Am 23. Juni 2016 um 20:26 von Tobias

    Ich wäre ja schon mal froh wenn endlich mal android 6 bekommen würde, für mein s6 edge …. Selbst auf Nachfrage heisst muss warten …. Und regelmäßige Updates? ??? Bekommen ich nix von mit

    • Am 23. Juni 2016 um 23:35 von Freidenker

      Hmm, selbst die Vodafone und die 1&1 S6 Edge haben 6.01, die freien werden seit dem 19.04. versorgt zwar einige erst seit dem 20.05 aber wenn du nicht ne Japan Version hast (da wird wohl seit heute ausgerollt) müsstest du also längst 6.01 haben.
      Wo hast du nachgefragt?

  • Am 23. Juni 2016 um 22:04 von root

    Oneplus vergessen?
    Oneplus One – Android Sicherheitsebene 1.6.2016

  • Am 23. Juni 2016 um 22:40 von SKU

    Blackberry Priv vergessen? Bekommt auch die monatlichen Sicherheitsupdates.

  • Am 24. Juni 2016 um 6:45 von usr

    Also gerade Samsung hier als Vorbild zu nennen, ist schon dreist. Die wenigen Flagschiffe werden gepatcht, das Gros der Handies und Tablets bleibt aussen vor. Gerade Samsung hat bei mir verloren…

  • Am 24. Juni 2016 um 12:27 von C

    Das Aktualisieren und Patchen beim Google-Android (dass die Hersteller verwenden) ist katastrophal.

    Daher sollte man sich auf andere, freie Anbieter verlassen, die sich diesem Thema weitaus besser widmen. Es ist ein Unding, Millionen von Usern im Regen stehen zu lassen!

  • Am 1. Juli 2016 um 13:59 von Peter

    Das Samsung Galaxy Tab Pro 10.1 WIFI habe ich von 12 Monaten bei Notebooksbilliger nagelneu gekauft, aber nach dem großen Update vom letzten Sommer noch nie Sicherheitsupdates vom Markenhersteller erhalten.

  • Am 6. Oktober 2016 um 11:58 von Ein Neuling

    Da ist nichts mit MONATLICHEN Sicherheitsupdates… Beim Galaxy S7 (G930FXXU1BPH6, G930FDBT1BPH2) ist der Stand immer noch 1. August, obwohl es für September UND Oktober solche Updates bereits gibt… :(

  • Am 6. Juni 2017 um 16:14 von Gerfried Perschmann

    Wenn ich zu LG lese, Zitat: „Dass dies im Fall von LG nicht geschehen ist, spricht nicht unbedingt für das Sicherheitsbewusstsein der Firma“. Da kann ich nur sagen – Koreaner eben. Man wundert sich in Korea im ersten Ansatz, was dort alles geht und wie gut – aber um welchen Preis. Sicherheit ist nicht in den Köpfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *