Die Themen Android und Sicherheit sind in den letzten Monaten zunehmend in den Fokus des öffentlichen Interesses geraten. Schwerwiegende Probleme im Media-Framework Stagefright machen Angriffe von außen auf den allergrößten Teil sämtlicher im Umlauf befindlichen Android-Geräte möglich. Was folgte war eine bis dato anhaltende Diskussion über mangelnde Updates, deren größtes Problem allerdings ist, dass es nur wenig verlässliches Zahlenmaterial gibt. Dieses liefern nun die Forscher der Cambridge-Universität nach, die dabei ein geradezu vernichtendes Bild der Situation zeichnen.

Zahlen

Im Schnitt waren in den letzten vier Jahren täglich 87,7 Prozent sämtlicher Android-Geräte von einer von elf bekannten kritischen Sicherheitslücke betroffen. Diese Zahl haben die Forscher mithilfe einer eigenen App ermittelt, die mehr als 20.000 Nutzer freiwillig auf ihren Geräten installiert haben.

OEMs

Gleichzeitig haben die Forscher aber auch untersucht, wie es bei einzelnen Herstellern mit der Auslieferung von Updates aussieht. Dafür hat man ein Zehnpunktesystem entwickelt, das unter anderem die Versorgung sämtlicher Geräte mit der aktuellsten Version und das Vorhandensein von kritischen Lücken miteinbezieht.

Nexus

Und wenig überraschend zeigen sich hier eklatante Unterschiede: Am besten schneidet Googles eigene Nexus-Reihe ab, diese erhält einen Score von 5,2 von 10 maximalen Punkten. An zweiter Stelle rangiert LG mit 4,0 Punkten, gefolgt von Motorola mit 3,1. Wirklich schlecht sieht es hingegen – im Schnitt – bei Samsung (2,7), Sony und HTC (jeweils 2,5) sowie Asus (2,4) aus. Bei Billigherstellern wie Alps (0,7) gebe es ohnehin praktisch nie Updates.

Mangelnde Transparenz

Ein erklärtes Ziel der Studie ist es Transparenz in die aktuelle Situation zu bringen. So kritisieren die Forscher, dass die Konsumenten praktisch null Informationen zur Sicherheit ihrer Geräte erhalten. Herauszufinden, ob ein Gerät sicher oder nicht ist, ist für die breite Masse praktisch unmöglich. Zumindest in dieser Hinsicht steht aber Besserung in Aussicht: Google hat bei den Systeminformationen mittlerweile ein Feld mit dem "Android Security Patch Level" hinzugefügt, der den Sicherheitsstatus jenseits der großen Android-Version ausweist. Ob andere Hersteller dies übernehmen, muss sich allerdings erst zeigen. (Andreas Proschofsky, 14.10.2015)