Vor etwa vier Wochen ist wie aus dem Nichts die KRACK-Lücke aufgetaucht, die praktisch alle modernen Betriebssysteme und Plattformen betroffen hat. Dabei handelt es sich um eine Lücke in der WPA2-Verschlüsselung des WLAN-Protokolls, die von allen großen Herstellern zeitnah gestopft wurden oder noch werden. Google allerdings wird die Lücke bei den hauseigenen Smartphones noch einige Wochen offen lassen. Das liegt aber nicht daran, dass es keinen Fix geben würde.
In den letzten Monaten wurde die Technologie-Branche gleich zwei mal ordentlich aufgerüttelt: Einmal durch die BlueBorne-Lücke in Bluetooth und nur kurze Zeit später durch KRACK. Bei beiden handelt es sich um Lücken in den Protokollen, womit die Zielgruppe extrem groß ist und meist Betriebssystem-übergreifend funktioniert. Da es sich bei beiden um grundlegende Technologien zum Datenaustausch handelt, kann natürlich auch keine Deaktivierung empfohlen werden.
So wie alle großen Betriebssysteme, war auch Android von KRACK betroffen. Googles Entwickler haben sich auch gleich an die Arbeit gemacht und haben die Lücke erkannt und gestopft. Den Patch stellt man im Rahmen des November-Sicherheitsupdates für Android zur Verfügung – allerdings nur für alle Dritthersteller und nicht für die eigenen Smartphones. Der Grund dafür liegt an den hauseigenen strengen Vorschriften, die man wohl selbst bei einer schweren Lücke nicht übergehen möchte.
Das Sicherheits-Update bestand in diesem Monat aus drei Paketen. Eines vom 1. November, eines vom 5. November und eines vom 6. November. Die KRACK-Lücke wird mit dem Paket vom 6. November gestopft, allerdings macht Google am 5. eines jeden Monats einen Strich drunter und rollt diese Version dann für die eigenen Smartphones aus. Alle noch unterstützen Pixel- und Nexus-Smartphones bekommen also die ersten beiden Pakete, das letzte aber nicht. Zumindest nicht in diesem Monat.
So gibt es nun die Situation, dass alle anderen Smartphone-Hersteller das Update schnell adaptiert haben und bereits ausrollen oder den Rollout angekündigt haben, und Google damit sogar zuvorkommen. Wenn man bedenkt dass der Fix hausintern entwickelt wurde, eine nicht wirklich nachvollziehbare Situation.
Die Pixel- und Nexus-Smartphones werden den Patch für die WLAN-Lücke nun erst im Dezmber bekommen und sind somit also noch einen weiteren unnötigen Monat lang gefährdet. Es wäre für Google natürlich ein leichtes gewesen den Termin für den Rollout einfach um einen Tag nach hinten zu verschieben oder ein weitere hinterherzuschieben, aber die internen Richtlinien scheinen das wohl nicht zu erlauben.
Nutzer des Custom ROMs Lineage OS durften sich schon kurz nach dem Entdecken der Lücke über einen Patch freuen und haben seit Wochen bereits sichere Smartphones in den Händen. Nutzer aller anderen Smartphones, gerade wenn sie bereits mehr als 2 Jahre auf dem Buckel haben, können von dem Update nur träumen und werden es wohl niemals bekommen. Damit bleiben all diese Geräte anfällig für die Lücke.
Auch Google selbst hat beim Desktop-Betriebssystem Chrome OS bereits ein Patch ausgeliefert und hat die Plattform gegen die Lücke abgesichert. Es bleibt zu hoffen dass die Lücke auch weiterhin nur theoretischer Natur bleibt und sich nicht plötzlich eine Android-App verbreitet, die genau dies ausnutzt – denn spätestens dann würde sich Googles Verhalten in dieser Sache rächen.