Google: 15 Jahre Android und immer noch kaputt
Googles Project Zero warnt vor einer Sicherheitslücke in zahlreichen Android-Geräten , die sich nicht nur aktiv ausnutzen lässt. Die Lücke wird außerdem vermutlich bereits länger als sogenannter Zero-Day-Exploit für Malware gehandelt. Doch Google und zahlreiche weitere Gerätehersteller haben den spätestens seit August dafür bereitstehenden Patch immer noch nicht als Update verteilt. Google hier noch ein Versehen zuzugestehen, fällt extrem schwer.
Denn der Fall zeigt exemplarisch, dass auch 15 Jahre nach der Ankündigung von Android die Sicherheit des gesamten Ökosystems weiterhin nachrangig behandelt wird. Besserung für wirklich grundsätzliche Probleme scheint weiter nicht in Sicht, solange sich die beteiligten Hersteller weiter an technischen Verrenkungen und kosmetischen Ideen versuchen wie in den vergangenen Jahren.
Das leidige Update-Thema
Vor allem in der Anfangszeit von Android machte sich offensichtlich niemand auch nur ansatzweise ernsthafte Gedanken, wie und in welchem Umfang Updates des Betriebssystems auf bestehende Geräte verteilt werden. Für viele Nutzer glich das Warten auf Updates einer Lotterie und im Zweifel war es einfacher, sich schlicht ein neueres Android-Gerät zu kaufen.
Die Berichterstattung darüber, wann welches Gerät Updates erhält, mit wie viel Verzögerung im Vergleich zu Google und wie viele der Android-Geräte eine aktuelle Version verwenden , füllte über Jahre die Schlagzeilen. Android-Mods wie Cyanogenmod traten früh an, um diese Situation zu verbessern. Doch auch im Jahr 2022 gibt es immer noch lange Ankündigungen der Hersteller , wann welches der Geräte ein Update erhält.
Langsame und schrittweise Veränderungen
Geändert hat sich das Sicherheits- und Update-Konzept für Android, das anfangs eigentlich nur mit Yolo beschrieben werden konnte, erst mit der Stagefright-Lücke . Davon und von weiteren Varianten waren damals wohl Millionen oder gar Milliarden Android-Geräte betroffen .
Über die Lücke ließen sich Geräte komplett übernehmen . Es war schnell klar, dass die hauseigenen Android-Forks der Hersteller, deren Hardwareabstraktionen und weitere Änderungen eine adäquate Reaktion auf Stagefright extrem erschweren .
Google und Samsung kündigten als Reaktion auf Stagefright im Jahr 2015 einen monatlichen Patch-Day an , LG folgte dem kurz darauf. Tatsächlich erschien das erste Monatsupdate für Android nur wenige Monate später und Google nutzte dies bald routiniert , um auch weitere schwerwiegende Sicherheitslücken zu beheben, wie etwa Dirty Cow .
Googles Umgang mit den Monatsupdates führte schnell dazu, dass die Nexus- und Pixel-Reihe als Referenz für sichere Android-Geräte galten. Denn häufig verteilten andere Hersteller diese Monatsupdates nur mit Verzögerungen, teils nicht für alle Geräte und wenn, dann über eine kürzere Zeitspanne als Google selbst – oder gar die iPhone-Konkurrenz durch Apple.
Erst im Dezember 2020, also mehr als 13 Jahre nach der Ankündigung von Android, konnte sich Google zusammen mit Qualcomm zu einer Updateverpflichtung über einen Zeitraum von vier Jahren durchringen . Dem folgten große Hersteller wie Samsung oder Xiaomi . Allgemeingültig ist dies leider aber nicht. So verspricht Asus für die ROG Phones bei Preisen über 1.000 Euro weiterhin nur lächerliche zwei Jahre Updates .
Trotz all der merklichen Verbesserungen haben Google und andere Hersteller nun wieder vergessen, einen Patch an ihre Nutzer weiterzureichen. Das liegt vor allem an systematischen Problemen, die Google und seine Ökosystem-Partner wider besseres Wissen einfach weiter missachten.
Update-Versprechen mit Lücken
Denn schon im vergangenen Jahr zeigte sich mit Googles Pixel 6 und der Verfügbarkeit von Android 12 für die Geräte, dass die versprochenen fünf Jahre Sicherheitsupdates eine halbgare Update-Schummelei sind und Google weit hinter unseren Erwartungen zurückbleibt .
Technisch bietet Android 12 endlich mehr Möglichkeiten für Upgrades und leichtere Updates. Denn dank der neuen Apex-Pakete , über die auch die Android Runtime ausgeliefert werden kann, sollte es eigentlich auch möglich sein, das Android Framework und damit das für Apps wichtige Betriebssystem als Paket-Update bereitzustellen.
Positiv hervorzuheben ist dabei, dass Lücken im Android-Framework wie der vor Kurzem veröffentliche Lockscreen-Bypass so schneller durch Patches behoben werden können. Ein Update grundlegender Android-Komponenten wie dem Framework bedeutete zuvor technisch sehr viel mehr Aufwand für die Gerätehersteller.
Kernel bleibt Baustelle
Doch wie wir schon im vergangenen Jahr anhand des Pixel 6 beschrieben haben, bleiben insbesondere die Kernel-Updates eine größere Baustelle. Dabei sind sie besonders kritisch, weil sie häufig ein sehr großes Schadenspotenzial bis hin zur kompletten Übernahme der Geräte haben.
Zwar gibt es auch deshalb seit Jahren Linux-Kernel-Versionen mit inzwischen bis zu sechs Jahren Langzeitupdates , die Google mittlerweile für die jeweils neuen Android-Versionen als Grundlage nutzt. Doch den 2019 vorgeschlagenen Einheitskernel hat Google erst mit Android 12 im vergangenen Jahr eingeführt.
Kernel-Updates machen weiter Probleme
Von diesem Einheitskernel gibt es aber Ausnahmen – insbesondere für Gerätetreiber und weitere sogenannte Module der Hardwarehersteller, die durch die OEMs und deren Partner weiterhin selbst gepflegt werden. Googles Sicherheitsforscher des Project Zero haben dieses Vorgehen bereits vor mehr als zwei Jahren als Sicherheitsrisiko beschrieben . Demnach sind diese Kernel-Erweiterungen eine "häufige Quelle von Sicherheitslücken" .
Das zeigt sich nun auch wieder an dem Fehler im Treiber von ARM für dessen Mali-GPUs, vor dem das Project Zero warnt. Dieser wird nicht im Linux-Kernel-Hauptzweig gepflegt, sondern als sogenannter Out-of-Tree-Treiber durch ARM selbst. Derartige Treiber können zusammengefasst schnell Hunderttausende Zeilen C-Code oder mehr umfassen.
Der ARM-Treiber wird darüber hinaus nicht im zentralen Android-Common-Kernel gepflegt, über den die Android-OEMs Kernel-Patches erhalten. Jeder der Hersteller ist also allein dafür verantwortlich, die Treiber-Patches in die eigenen Gerätezweige zu übernehmen und auszuspielen. Eine Koordinierung dieses Vorgangs und klare zeitliche Abläufe dafür, wie es seit Jahrzehnten bei den gängigen Linux-Distributionen üblich ist, gibt es unter Android weiter nicht.
Dass sich das ändert, ist nicht in Sicht. Die vom Project Zero geforderte und etwa für Chrome OS von Google umgesetzte enge Zusammenarbeit mit den Entwicklern des Linux-Hauptzweiges wird wohl erst in einigen Jahren kommen. So sollen wichtige für Android notwendige Kernel-Funktionen erst ab 2024 im Hauptzweig landen .
Definitive Aussagen zu den zahllosen extern gepflegten Treibern in Bezug darauf gibt es aber weder von Google noch von den Herstellern. Die Patches für möglicherweise schwerwiegende Kernel-Lücken und auch Zero-Day-Exploits für Android werden künftig also auch weiter oft nur verzögert bei Nutzern ankommen, wenn überhaupt – ein völlig vermeidbares Trauerspiel!
IMHO ist der Kommentar bei Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).
- Anzeige Hier geht es zu den aktuellen Blitzangeboten bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.