Über mangelnde Medienpräsenz für die Pixel 6-Smartphones kann sich Google sicherlich nicht beschweren, allerdings kann man nicht immer mit guten Nachrichten aufwarten. Das Dilemma der aktuellen Generation dauert schon seit mehreren Monaten an, hat aus Security-Sicht aber zum Beginn dieser Woche einen neuen Höhepunkt erreicht, den man selbst durch das nachgeholte Update kaum schönreden kann. Damit untergräbt Google die eigenen Ansprüche an die Sicherheit der Smartphones.
Google verspricht Pixel-Nutzern nicht nur frühen Zugriff auf neue Funktionen und den schnellsten Rollout, sondern durch sofortige Updates auch eine höchstmögliche Sicherheit. Leider musste man sich mit den Pixel 6-Smartphones in den vergangenen Monaten von jeglichen Ansprüchen verabschieden, denn Google hat die Vorreiterrolle verloren. Das gilt nach wie vor, doch in dieser Woche gab es einen weiteren Höhepunkt, den man nicht so einfach unter den Tisch kehren sollte.
Dirty Pipe-Fix fehlt
Zwar gab es das Android-Update im April pünktlich und gleichzeitig mit allen anderen Geräten, aber das kann nicht darüber hinwegtäuschen, dass es kein vollständiges Update gewesen ist. Google hat am Montag die Fixes ausgerollt, die bereits fertig waren und konnte somit auf den ersten Blick wieder Punkte für die Pixel 6-Smartphones sammeln. Doch leider umfasst das Update NICHT die Dirty Pipe-Sicherheitslücke, die als schwerste Lücke seit Jahren gilt und Angreifern sehr umfangreiche Möglichkeiten zur Manipulation und Übernahme der Kontrolle des Smartphones gibt.
Dirty Pipe ist nur in sehr jungen Versionen des Linux-Kernels enthalten und betrifft somit nur wenige Geräte. Bei Google sind es nur die Pixel 6-Smartphones, während alle Generationen zuvor nicht betroffen sind. Es erfordert also einen Bugfix, der einzig und allein für Pixel 6 und Pixel 6 Pro ausgerollt werden muss. Genau das ist aber nicht geschehen.
Ich hatte bereits darüber geschrieben, dass Google die Dirty Pipe-Lücke in Android bereits gestopft hat und von Samsung auch schon auf die Galaxy S22-Smartphones ausgerollt wurde. Während Samsung die Lücke innerhalb weniger Wochen stopfen konnte, hat Google das nicht geschafft. Die Schuld dürfte erneut an Tensor liegen, der mehr Entwicklungsaufwand erfordert. Dadurch gab es in den letzten Monaten massive Verschiebungen bei den Sicherheitsupdate. Im April hat man sie in den Griff bekommen, aber wohl zu dem Preis, dass es nicht vollständig ist.
Wäre es nun besser gewesen, das Pixel 6-Update erneut zu verschieben? Vielleicht. Die beste Lösung wäre es wohl, wenn man endlich die Kommunikation in den Griff bekommt oder überhaupt erst einmal startet: „Hey Pixel 6-Nutzer, das Update kommt diesmal pünktlich, aber die Dirty Pipe-Lücke können wir erst am 19. April schließen“. Das macht den Fakt nicht besser, aber verbessert die Gesamtsituation und würde endlich zeigen, dass sich Google ernsthaft für die Pixel 6-Nutzer interessiert. Fehler passieren, Schwierigkeiten muss man meistern. Mit Transparenz gegenüber den Nutzern ließe sich sehr viel Druck vom Kessel nehmen.
Zwar wurde am Donnerstag mit Android 12 QPR3 Beta 2 die Dirty Pipe-Lücke geschlossen, aber das gilt nur für Beta-Nutzer. Weil das nur ein kleiner Teil ist, wartet die Masse der Nutzer nach wie vor auf den Patch.
Leider hat Google _Stand heute_ aus meiner Sicht nicht mehr den Anspruch, die bestmögliche Sicherheit für die Pixel-Nutzer zu gewährleisten. Man hat die Lücke in Android gestopft, selbst Samsung konnte es umsetzen und wenn man nur will, muss das auch für Google möglich sein. Zwar wird Dirty Pipe offiziell noch nicht ausgenutzt, aber was ist, wenn sich das morgen ändert? Dann wären die Pixel 6-Smartphones plötzlich ein sehr attraktives Angriffsziel.