Mobile Security: Dieser Weg wird kein leichter sein…

Wer immer die aktuellste Android-Version nutzen möchte, kommt an Googles Pixel-Reihe nicht vorbei. Andere -Hersteller sind nicht so zuverlässig. Die Update-Politik vieler Hersteller verwirrt bisher die Verbraucher, ob die im Handel verfügbaren Geräte noch langfristig Updates erhalten. Einen ersten wichtigen Schritt hat Google mit dem Projekt Treble unternommen, um insbesondere die wichtigen Android-Flaggschiffe schneller mit Updates zu versorgen. Dauerte es vorher durchschnittlich 192 Tage, bis das Nougat-Update die wichtigsten Smartphones erreicht hatte und die Version Oreo 170 Tage, haben die OEM-Hersteller Android Pie bereits 118 Tage nach der Einführung ausgerollt. Allerdings variieren die Zeiten zwischen den einzelnen Herstellern deutlich. So haben insbesondere Samsung, Huawei und Xiaomi die Bereitstellungszeiten nahezu halbiert.

Monatliche Android-Updates stellen den Schutz der Geräte und damit auch der Nutzer sicher. Eine aktuelle Übersicht zu aktuellen Patches und Sicherheitsfixes stellen die Hersteller immer sehr zeitnah bereit. Die wichtigsten Adressen sind:

• Google: https://support.google.com/pixelphone/answer/4457705
• Samsung: https://security.samsungmobile.com/securityUpdate.smsb
• Huawei: https://consumer.huawei.com/en/support/bulletin/
• LG: https://lgsecurity.lge.com/security_updates_mobile.html
• Motorola: https://support.motorola.com/us/en/softwareupgrade
• Nokia: https://www.nokia.com/phones/en_int/security-updates

Allerdings hat die Sache einen Haken: Auch wenn der Patch-Level dem aktuellsten Stand entspricht, bleibt ein Restrisiko. Denn eine Studie über verpasste Sicherheitsupdates wirft Zweifel an Googles Android Patch-Level-System auf. Deutsche Sicherheitsexperten haben kritische Patches gefunden, die auf Geräten mit einem Patchlevel installiert sein sollten, aber trotzdem nicht vorhanden waren. Auf einigen Geräten fehlten bis zu einem Dutzend Patches. Die Schuld ist dabei aber nicht unbedingt Google zuzuweisen. Denn der amerikanische Konzern veröffentlicht in der Regel zwei Patch-Level pro Monat: Einen für Android-Bugs und einen zweiten für Bugs in Kernel- und Chipsatztreibern. Die Experten kommen in ihrer Studie zu dem Ergebnis, dass einige Hersteller dem Nutzer ein falsches Sicherheitsgefühl geben. Eine mögliche Erklärung für fehlende Patches ist der in Geräten verwendete Chipsatz und eine damit verbundenen spezifische Schwachstelle. Allerdings sind Sicherheitsupdates nur eine Sicherheitsebene von vielen zum Schutz von Android-Geräten. Weitere Schutzmaßnahmen sind App Sandboxing und der Playstore Bouncer. Außerdem zeigen die Erfahrungen, dass es für Cyberkriminelle einfacher ist, über infizierte Apps Smartphones zu kompromittieren – entweder direkt über den Playstore von Google oder über Drittanbieter. Wer den Patch-Zustand seines Geräts genauer überwachen möchte, sollte die kostenlose Patch-Verifizierungs-App “SnoopSnitch” nutzen.

Mit jeder neuen Betriebssystem-Version setzt Google Projekte um mit dem Ziel, möglichst umfassende Verbesserungen für Android-Geräte bereitzustellen. Ein Beispiel ist Android One. Mit dieser Initiative stellt Google viel schnellere Updates für einen breiteren Kundenkreis bereit. Der Grund: Android One-Geräte sind mit einem Standard-Betriebssystem ausgestattet. Daher fehlen benutzerdefinierte Skins, Software oder Anwendungen, die aktualisiert und auf Kompatibilität getestet werden müssen. Das geht sicherlich zu Lasten der Individualität, aber zugunsten der Sicherheit. Darüber hinaus erhalten Android-One-Smartphones mindestens zwei Jahre lang Upgrades auf die aktuelle Version des Betriebssystems sowie monatliche Sicherheitsupdates für drei Jahre. Google verspricht eine weitreichende Sicherheit, verbunden mit einer gleichbleibend hohen Leistung. Android One ist deutlich aufgeräumter und hat weniger Abhängigkeiten innerhalb des Systems, sodass es insbesondere bei preiswerteren Handys verbreiteter ist.

Ein weiteres Projekt heißt Mainline und baut auf Treble auf. Ziel ist es, die Bereitstellung der Android-Updates zu vereinfachen und schneller zu machen. Grundlegende Betriebssystem-Komponenten werden auf eine Weise aktualisiert wie Apps über Google Play. Dieser Ansatz versetzt die Entwickler in die Lage, ausgewählte Komponenten schneller und über einen längeren Zeitraum zu liefern – unabhängig von einem vollständigen Update des entsprechenden Herstellers. Die aktualisierten Framework-Komponenten befinden sich oberhalb der Treble-Schnittstelle und der hardware-spezifischen Implementierung sowie unterhalb der Apps-Schicht. Die Nutzer profitieren in Bezug auf Sicherheit, Datenschutz und Konsistenz. So liefert Google mit Project Mainline schnellere Sicherheitskorrekturen für kritische Sicherheitsprobleme. Zum Beispiel durch die Modularisierung von Medienkomponenten, die fast 40 Prozent der kürzlich gepatchten Schwachstellen ausmachten.

Ein wesentlicher Bestandteil im Projekt Mainline ist Pony Express. Android Pony EXpress (APEX) ist ein Containerformat, das im Installationsablauf für untergeordnete Systemmodule zum Einsatz kommt. Dieses Format erleichtert die Aktualisierung von Systemkomponenten, die nicht in das Standard-Android-Anwendungsmodell passen. Dadurch lassen sich wichtige Sicherheits- und Leistungsverbesserungen, die bisher bei vollständigen Betriebssystem-Updates erforderlich waren, herunterladen und so einfach wie ein App-Update installieren. Um eine sichere Bereitstellung von Updates zu gewährleisten, hat Google auch neue ausfallsichere Mechanismen und verbesserte Testprozesse entwickelt.

Das Thema Sicherheit für Smartphones und Tablets wird zunehmend wichtiger, weil Smartphones immer mehr sicherheitskritische Aufgaben übernehmen. So nutzen immer mehr Menschen ihr Smartphone oder Tablet als digitales Cockpit für ihren Alltag, etwa um ihr smartes Zuhause von unterwegs zu steuern. Ein weiteres Beispiel für einen sicherheitskritischen Einsatz ist die Zahlungsdiensteverordnung PSD2. Sie sorgt dafür, dass immer mehr Menschen ihr mobiles Gerät für Onlinebanking mit Zwei-Faktor-Authentifizierung einsetzen.