Android: Millionen Sicherheitslücken durch schlechte Updatepolitik

25. März 2013, 12:47
posten

Hersteller und Mobilfunker sind säumig bei der Auslieferung von Aktualisierungen

Wird über Android-Smartphones gesprochen, kommt unweigerlich auch das Thema Updates auf den Tisch. Nicht selten hören Hersteller schnell damit auf, Geräte auf neue Versionen des Betriebssystems zu aktualisieren, obwohl die Hardware potent genug dafür wäre.

Vorbild Apple

Ein erntes Problem wird dies beim Stopfen von Sicherheitslücken. Auch bei Android-Systemen werden ab und an größere und kleinere Lecks entdeckt, die für die Nutzer mitunter riskant werden können. Anders als es bei Apple der Fall ist – der Konzern lässt die Carrier erfolgreich nach seiner Pfeife tanzen – haben die Telekommunikationsprovider bei der Auslieferung von Updates für Vertragsgeräte ein Wörtchen mitzureden, da diese über ihre Server laufen. Mit problematischen Folgen, denn sie sind dabei oft säumig.

"Wenn Apple beschließt, dass ein Sicherheitsupdate ausgeliefert wird, bekommt das jeder Kunde, wenn er das nächste mal sein Telefon an seinen Rechner anhängt, egal ob es dem Carrier gefällt oder nicht", erklärt Chris Soghoian von der American Civil Liberties Union gegenüber Wired. "Bei Android erhält man Updates, wenn das Hersteller und Mobilfunker so wollen, was nicht oft der Fall ist." Das Resultat sind oft enorme Verzögerungen, wenn denn überhaupt eine Aktualisierung geliefert wird.

Viele Betroffene

DuoSecurity hat im vergangenen Herbst seine Erkenntnisse diesbezüglich veröffentlicht und festgestellt, dass mehr als die Hälfte aller überprüften Android-Devices Sicherheitslücken aufwies. Legt man dies auf die globale Verbreitung des Systems um, dürfte es sich um eine hohe Millionenzahl handeln. Weltweit gibt es mittlerweile über 300 Millionen Android-Geräte, wie The Next Web berichtet.

Desinteressierte Hersteller...

Während Google in der Regel flott darin ist, Schwachstellen bei Android zu eliminieren, sieht das schon bei den Herstellern wieder anders aus. Dort lohnt sich die Arbeit in finanzieller Hinsicht nicht. Die Security-Fixes müssen für das System und die unterschiedliche Hardware jedes einzelnen Gerätes einzeln implementiert werden. Das kostet Zeit, die lieber in die Entwicklung neuer Modelle gesteckt wird.

...säumige Mobilfunker

Und ist ein Sicherheitsupdate einmal umgesetzt, bedeutet das noch längst nicht, dass der jeweilige Mobilfunker dieses auch (zeitgerecht) weiterreicht. Auch dort gibt es das Interessen, den Kunden letztlich mit einem Neugerät zu einer Vertragsverlängerung zu überreden. Am Ende machen sich dann Hersteller und Telekommunikationsunternehmen gegenseitig für die Verzögerungen verantwortlich und der Kunde steht mit einem veralteten und verwundbaren System da.

Politischer Druck notwendig

Um ein Gerät anzugreifen, das mit einem 13 Monate alten System läuft, benötigt man dann auch keinen Zero-Day Exploit, erklärt Soghoian. Er fordert nun, dass die Carrier entweder ihre Verantwortung wahrnehmen oder die Kontrolle über die Auslieferung von Updates an Google abgeben. Dass dies in absehbarer Zeit geschieht ist jedoch – zumindest ohne politischem Druck – unwahrscheinlich. (red, derStandard.at, 06.02.2013)

  • Säumnisse in der Updatepolitik gefährden die Sicherheit der User.

    Säumnisse in der Updatepolitik gefährden die Sicherheit der User.

Share if you care.