Update-Versprechen mit Lücken

Denn schon im vergangenen Jahr zeigte sich mit Googles Pixel 6 und der Verfügbarkeit von Android 12 für die Geräte, dass die versprochenen fünf Jahre Sicherheitsupdates eine halbgare Update-Schummelei sind und Google weit hinter unseren Erwartungen zurückbleibt.

Technisch bietet Android 12 endlich mehr Möglichkeiten für Upgrades und leichtere Updates. Denn dank der neuen Apex-Pakete, über die auch die Android Runtime ausgeliefert werden kann, sollte es eigentlich auch möglich sein, das Android Framework und damit das für Apps wichtige Betriebssystem als Paket-Update bereitzustellen.

Positiv hervorzuheben ist dabei, dass Lücken im Android-Framework wie der vor Kurzem veröffentliche Lockscreen-Bypass so schneller durch Patches behoben werden können. Ein Update grundlegender Android-Komponenten wie dem Framework bedeutete zuvor technisch sehr viel mehr Aufwand für die Gerätehersteller.

Kernel bleibt Baustelle

Doch wie wir schon im vergangenen Jahr anhand des Pixel 6 beschrieben haben, bleiben insbesondere die Kernel-Updates eine größere Baustelle. Dabei sind sie besonders kritisch, weil sie häufig ein sehr großes Schadenspotenzial bis hin zur kompletten Übernahme der Geräte haben.

Zwar gibt es auch deshalb seit Jahren Linux-Kernel-Versionen mit inzwischen bis zu sechs Jahren Langzeitupdates, die Google mittlerweile für die jeweils neuen Android-Versionen als Grundlage nutzt. Doch den 2019 vorgeschlagenen Einheitskernel hat Google erst mit Android 12 im vergangenen Jahr eingeführt.

Kernel-Updates machen weiter Probleme

Von diesem Einheitskernel gibt es aber Ausnahmen - insbesondere für Gerätetreiber und weitere sogenannte Module der Hardwarehersteller, die durch die OEMs und deren Partner weiterhin selbst gepflegt werden. Googles Sicherheitsforscher des Project Zero haben dieses Vorgehen bereits vor mehr als zwei Jahren als Sicherheitsrisiko beschrieben. Demnach sind diese Kernel-Erweiterungen eine "häufige Quelle von Sicherheitslücken".

Das zeigt sich nun auch wieder an dem Fehler im Treiber von ARM für dessen Mali-GPUs, vor dem das Project Zero warnt. Dieser wird nicht im Linux-Kernel-Hauptzweig gepflegt, sondern als sogenannter Out-of-Tree-Treiber durch ARM selbst. Derartige Treiber können zusammengefasst schnell Hunderttausende Zeilen C-Code oder mehr umfassen.

Der ARM-Treiber wird darüber hinaus nicht im zentralen Android-Common-Kernel gepflegt, über den die Android-OEMs Kernel-Patches erhalten. Jeder der Hersteller ist also allein dafür verantwortlich, die Treiber-Patches in die eigenen Gerätezweige zu übernehmen und auszuspielen. Eine Koordinierung dieses Vorgangs und klare zeitliche Abläufe dafür, wie es seit Jahrzehnten bei den gängigen Linux-Distributionen üblich ist, gibt es unter Android weiter nicht.

Dass sich das ändert, ist nicht in Sicht. Die vom Project Zero geforderte und etwa für Chrome OS von Google umgesetzte enge Zusammenarbeit mit den Entwicklern des Linux-Hauptzweiges wird wohl erst in einigen Jahren kommen. So sollen wichtige für Android notwendige Kernel-Funktionen erst ab 2024 im Hauptzweig landen.

Definitive Aussagen zu den zahllosen extern gepflegten Treibern in Bezug darauf gibt es aber weder von Google noch von den Herstellern. Die Patches für möglicherweise schwerwiegende Kernel-Lücken und auch Zero-Day-Exploits für Android werden künftig also auch weiter oft nur verzögert bei Nutzern ankommen, wenn überhaupt - ein völlig vermeidbares Trauerspiel!

IMHO ist der Kommentar bei Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).