Skandal?! Viele Smartphone-Hersteller liefern nur unvollständige Android-Sicherheitsupdates aus
Android-Updates sind ein leidiges Thema, sollen mit der neuen Infrastruktur des Betriebssystems und dem Project Treble aber deutlich leichter für die Hersteller umsetzbar sein. Das gilt auch für die Sicherheitsupdates, die von Google monatlich ausgeliefert werden und Lücken stopfen sollen, noch bevor sie ausgenutzt werden. Wie eine Langzeit-Studie jetzt herausgefunden hat, schummeln viele Smartphone-Hersteller aber bei der Auslieferung dieser Updates.
Abseits von allen Spezifikationen, Features und starken Marken gibt es noch ein weiteres wichtiges Kriterium für viele Nutzer, das in die Kaufentscheidung mit hereinspielt: Und zwar die Dauer der garantierten Updates für das Betriebssystem sowie auch die Zeitspanne bis zur Auslieferung von Sicherheitsupdates. Doch nur weil Updates schnell ausgeliefert werden, heißt das nicht unbedingt, dass die Smartphones nun auch gegen alle Lücken abgesichert sind.
Eine jetzt angekündigte Studie zeigt nun, dass viele Smartphone-Hersteller bei der Auslieferung der Updates schummeln. Um sich möglichst in gutem Licht hinstellen zu können, liefern praktisch alle Hersteller immer wieder mal Updates aus, die gar nicht alle Lücken stopfen. Angegeben wird dann zwar, dass das Smartphone auf dem entsprechenden Patch-Level läuft, aber das ist wohl nur in den seltensten Fällen die ganze Wahrheit.
Obige Tabelle zeigt eine Übersicht der wichtigsten Smartphone-Hersteller und ihr Abschneiden in dieser Statistik. Als einziger Hersteller soll Google die eigenen Smartphones wirklich mit 100% der angekündigten Patches stopfen. Die anderen drei Hersteller haben zumindest einmal im vergangenen Jahr einen Patch unter den Tisch fallen lassen. Damit kann man leben, auch wenn es natürlich nicht ganz korrekt ist und dem Nutzer so eine falsche Sicherheit vorgegaukelt wird.
Schämen dürfen sich vor allem HTC, Huawei, LG und Motorola, die in drei oder gar vier Fällen mal den einen oder anderen Patch unter den Tisch fallen lassen. Dem Nutzer wird das aber nicht mitgeteilt, sondern er sieht lediglich, dass das monatliche Update ausgeliefert wurde und das Gerät vermeintlich geschützt ist. Bei einigen Herstellern soll das tatsächlich System haben und mit „Dutzenden“ von Patches geschehen. In Einzelfällen sollen Updates sogar überhaupt gar nichts bewirken, außer die Versionsnummer zu erhöhen.
Es soll wohl auch einen Zusammenhang mit den Herstellern der Chipsätze geben, die ebenfalls eine Mitschuld tragen, da sie nicht zeitgerecht die gefixten Versionen an die Hersteller liefern.
Der vollständige Bericht soll erst in einigen Tagen veröffentlicht werden, schlägt aber schon jetzt große Wellen. Hersteller haben sich bisher noch nicht geäußert, aber Google hat bereits ein erstes Statement abgegeben und möchte die einzelnen Fälle nun überprüfen. Über mögliche Konsequenzen ist noch nichts bekannt, aber rein theoretisch könnte Google wohl auch mit Lizenz-Entzug drohen. Was dann zum nächsten Problem führt.
This is important research. We’ve launched investigations into each instance and each OEM to bring their certified devices into compliance when we’ve been able to reproduce their findings…[but] each instance really needs further investigation.
In Einzelfällen kann es sein, dass die Hersteller statt der Auslieferung von Patches einfach Komponenten deaktivieren oder dass sie nicht von den Lücken betroffen sind. Aber das wird sich nun zeigen müssen. Das Thema könnte uns noch eine ganze Weile beschäftigen, aber Schlüsse sollte man erst dann ziehen, wenn die vollständige Studie veröffentlicht wurde.
Die Entdecker haben übrigens eine App, mit der sich der tatsächliche Patch-Level näher betrachten und überprüfen lässt.
Siehe auch
» Android-Sicherheitsupdates: So lange und schnell liefern die Smartphone-Hersteller Updates aus (Infografik)
[Wired]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Teile diesen Artikel:
