Categories: MobileMobile OS

Android und das Update-Problem

Die allermeisten Android-Smartphones haben ein Sicherheitsproblem. Das liegt weniger an Google, das seit der im letzten Jahr unter der Bezeichnung Stagefright bekannt gewordenen und wegen ihre Schwere als „Mutter aller Android-Sicherheitslücken“ titulierten Schwachstelle monatliche Sicherheitsaktualisierungen für sein Mobilbetriebssystem veröffentlicht, sondern an den Smartphone-Herstellern, die es nicht schaffen, diese Updates zeitnah für ihre Geräte auszuliefern.

Google und Samsung liefern monatliche Sicherheitsupdates

Neben Google, das besagte Sicherheitspatches für aktuelle Pixel-Modelle als OTA-Updates bereitstellt, ist lediglich Samsung in der Lage, hierzulande monatliche Sicherheitsaktualisierungen für seine Flaggschiff-Modelle zu veröffentlichen. Darunter fallen die Smartphones Galaxy S7, S7 Edge, S6, S6 Edge, S6 Edge Plus und S5,  sowie Galaxy Note 4, 5 und Edge. Zudem sollen die Tablets Tab S, S2 und die im Januar vorgestellte Neuauflage des Mittelklasse-Smartphones Galaxy A5 Android-Patches erhalten. Während Google die Aktualisierungen jeweils zu Beginn des Monats veröffentlicht, benötigt der größte Android-Smartphone-Hersteller circa drei Wochen, um diese anzupassen und für seine Smartphones bereitzustellen.

HIGHLIGHT

Android 6.0 Marshmallow und microSD-Card-Support

Den Zugriff auf microSD-Cards hat Google in der jüngsten Android-Version erneut geändert. Zahlreiche Apps kommen damit noch nicht klar. Allerdings ist auch ein neues Feature hinzugekommen.

Inzwischen gibt es Anzeichen, dass nun auch andere große Hersteller wie HTC, LG und Sony das Schließen von Sicherheitslücken wichtiger nehmen als in den vergangenen Monaten. HTC liefert beispielsweise das Juni-Update bereits in den USA aus. LG hat diese Woche eine Webseite für Informationen zur Sicherheit seiner Mobilgeräte veröffentlicht. Unter der E-Mail-Adresse product.security@lge.com können Anwender und Entwickler, die glauben, eine mögliche Sicherheitslücke in einem LG-Mobilprodukt entdeckt zu haben, den Hersteller informieren.

ZDNet.de ist dieser Aufforderung nachgekommen und hat eine Sicherheitslücke an LG gemeldet, die im Browser der aktuellen Android-Version für das G3 und G4 steckt. Hierbei handelt es sich um die sogenannte Logjam-Lücke, die die Verschlüsselung von HTTPS-Verbindungen schwächt und bereits im Mai 2015 entdeckt wurde. Anwender können sich durch die Nutzung eines anderen Browser wie Firefox vor dieser Lücke schützen.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Das Beispiel zeigt auch, dass es nicht ausreicht, monatliche Sicherheitsupdates von Google einzuspielen, um ein Höchstmaß an Schutz zu erreichen. Die Hersteller müssen überdies auch die selbst entwickelte Software auf Fehler überprüfen. Dass dies im Fall von LG nicht geschehen ist, spricht nicht unbedingt für das Sicherheitsbewusstsein der Firma. Schließlich ist die Logjam-Lücke bereits ein Jahr bekannt. Dabei wäre es so einfach, diesen Fehler zu entdecken. Ein Browsertest bei Sicherheitsanbieter Qualys reicht dafür aus.

Sony will laut Google ebenfalls monatliche Sicherheitsupdates bereitstellen. Bisher ist das allerdings noch nicht gängige Praxis. Immerhin liefert der Hersteller gerade für zahlreiche Smartphones Android 6.0 Marshmallow aus. Dazu gehören die Modelle Xperia Z5, Z5 Compact, Z5 Premium, Z4 Tablet, Z3+, Z3, Z3 Compact, Z3 Tablet Compact, Z2, Z2 Tablet, M5, C5 Ultra, M4 Aqua und C4. Dass für Sony die Beschleunigung des Updateprozesses besonders wichtig ist, zeigt sich auch daran, dass der Hersteller für das Z3 bereits eine Developer-Version von Android N bereitstellt. Experimentierfreudige Anwender und Entwickler können so schon einen Blick auf die nächste Android-Version werden, bevor diese im Herbst offiziell erscheint und unter anderem eine verbesserte Sicherheitsarchitektur bietet.

LG-Browser mit Logjam-Lücke (Screenshot: ZDNet.de)

Mobilfunkprovider bremsen

Bis Updates der Smartphone-Hersteller allerdings bei den Nutzern ankommen, kann einige Zeit vergehen, da bei Geräten, die über einen Mobilfunkprovider verkauft wurden, zunächst ein Test des Updates durch den Provider erfolgt. Erst nach dessen Freigabe erfolgt die Auslieferung. Google befindet sich diesbezüglich  in Gesprächen mit den Mobilfunkanbietern. Verizons Tests haben in der Vergangenheit beispielsweise Monate in Anspruch genommen. Sie sind auf Googles Drängen hin inzwischen um einige Wochen beschleunigt und sollen weiter verkürzt werden. Sprint erklärte, es habe sein Prüfverfahren von 12 Wochen auf „ein paar Wochen“ reduziert. Google versucht die Netzbetreiber zu überzeugen, zumindest Sicherheitsupdates von der vollständigen und kostspieligen Testserie auszunehmen.

Sicherheitsstatus abfragen

Android-Anwender erfahren den aktuellen Sicherheitsstatus über Einstellungen – Über das Telefon – Android-Sicherheitspatch-Ebene. Auf Samsung-Geräten gelangt man über Geräteinformationen – Softwareinfo zu dieser Information. Eine Besonderheit stellen Geräte von HTC dar, die den aktuellen Sicherheitsstatus nicht anzeigen. Getreu dem Motto: Lieber dem Anwender nicht auch noch zeigen, wie alt unsere Updates sind. Mit externen Tools wie Aida64 oder CPU-Z kann man aber trotzdem den aktuellen Sicherheitspatch-Level ausfindig machen.

Wie lange gibt es Updates

Nur wenige Hersteller geben Auskunft über den Zeitraum, in dem Geräte aktualisiert werden. Pixel-Telefone von Google erhalten neue Android-Versionen mindestens zwei Jahre lange, nachdem das Gerät erstmals im Google Store angeboten wurde. Mit Sicherheitsaktualisierungen werden die Geräte drei Jahre lang ab der ersten Verfügbarkeit respektive 18 Monate lang ab der letzten Verfügbarkeit im Google Store versorgt – je nachdem, welcher Zeitraum länger ist.

Samsung macht zwar keine offiziellen Angaben, was die Verfügbarkeit von neuen Android-Versionen für seine Smartphones anbelangt. Erfahrungsgemäß kann man aber davon ausgehen, dass diese wie die Nexus-Geräte zwei Jahre lang neue Android-Versionen erhalten. Im Rahmen seines im März vorgestellten Enterprise Device Program garantiert es außerdem für seine Business-Smartphones wie die in diesem Jahr vorgestellten Galaxy S7 und S7 Edge eine zweijährige Warenverfügbarkeit sowie üblicherweise monatliche Updates. Letztere werden drei Jahre lang für ausgewählte Business-Smartphones garantiert.

Google versucht den Update-Prozess der Smartphone-Hersteller zu beschleunigen. Angeblich droht es mit der Veröffentlichung einer bislang intern geführten Rangliste, die führende Smartphonehersteller hinsichtlich der Aktualisierung ihrer Geräte bewertet. Druck entsteht auch seitens der US-Behörden, die sich für den laxen Umgang mit bekannten Schwachstellen seitens der Hersteller interessieren.

Stagefright: neue Schwachstellen im Monatsrhythmus

Wer die Stagefright-Lücken ausschließlich mit dem Jahr 2015 verbindet, begeht einen Fehler. Noch immer werden Schwachstellen in der Multimedia-Komponente von Android entdeckt. Die monatlichen Security-Bulletins von Google und Samsung zeigen dies. Anwender können mit einer App von Stagefright-Entdecker Zimperium überprüfen, ob ihr Gerät von den Schwachstellen betroffen ist.

Je älter Android-Sicherheitspatch-Level, desto größer ist die Anzahl von Sicherheitslücken (Screenshot: ZDNet.de)

Fazit

„Ein edler Mensch beurteilt niemanden nur nach seinen Worten. In einer kultivierten Welt blühen Taten, in einer unkultivierten Welt Worte.“ Beurteilt man die Smartphone-Hersteller nach diesem Leitspruch von Konfuzius, fällt das Urteil in Bezug auf die versprochene Bereitstellung monatlicher Sicherheitsupdates größtenteils vernichtend aus. Google und Samsung sind derzeit die einzigen, die ihre Ankündigung regelmäßiger Updates hierzulande in die Praxis umgesetzt haben. Ein Umstand, den private Konsumenten wie Firmenanwender bei der Beschaffung neuer Smartphones bedenken sollten.

Es bleibt zu hoffen, dass auch andere Hersteller diesem Beispiel bald folgen werden. Es kann doch wirklich nicht so schwer sein, die von Google bereitgestellten Patches in die eigene Firmware zeitnah zu integrieren. Neben Google und Samsung schaffen das immerhin auch die vielen freiwilligen Entwickler der größten Android Custom ROM, CyanogenMod – und zwar für zahlreiche Mobilgeräte, unter anderen auch für das bereits 2012 vorgestellte Nexus 7, das trotz Android 5.1.1 den aktuellen Sicherheitspatch-Level von Juni 2016 aufweist. So sieht Support aus.

Immerhin scheint sich – auch auf den Druck von Google und der US-Behörden hin – nun etwas zu ändern. Mit LG bietet neben Google und Samsung ein weiterer Smartphone-Hersteller eine spezielle Webseite rund um das Thema Sicherheit an. Diesem Beispiel sollten die anderen Hersteller folgen und damit Transparenz schaffen, anstatt sich über Sicherheitsprobleme auszuschweigen.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Ohne Passwort-Management keine IT-Sicherheit

Neben hochentwickelten Firewalls und Authentifizierungsverfahren spielt eine möglichst hohe Passwortsicherheit eine entscheidende Rolle für die…

7 Stunden ago

Starke Leistung im kompakten Desktop-PC | MSI Business & Productivity Desktop-PCs für vielseitige Anwendungen

Ein klassischer Desktop-PC im Tower-Format ist nicht für jeden geeignet, besonders bei begrenztem Arbeitsraum. MSI…

10 Stunden ago

Silicon Security Day Europe

Wie kann Künstliche Intelligenz helfen, den Krieg gegen Ransomware und "Nukleare" Ransomware 3.0 zu gewinnen?

11 Stunden ago

Silicon Security Day Austria

Beim Silicon Security Day in Österreich am 2. Juni 2022 ab 9:45 Uhr dreht sich…

11 Stunden ago

ONLYOFFICE kündigt umfangreiches Update für Kollaborationsplattform und Dokumenten-Editoren an

Die quelloffene Online-Office-Lösung ONLYOFFICE kündigt ein umfangreiches Update für ihre Kollaborationsplattform (ONLYOFFICE Workspace 12.0) und…

13 Stunden ago

VeeamON: Veeam wird Marktführer bei Data Protection

Auf der Konferenz VeeamON zeigt sich Veeam sehr optimistisch. Die Zahlen unabhängiger Marktforscher bestätigen den…

1 Tag ago