Google zwingt Android-Hersteller zu Sicherheits-Updates

    10. Mai 2018, 20:29
    15 Postings

    Update-Versprechen wird Teil der Verträge mit OEMs – Google spricht aber nur vage von "regelmäßigen" Updates

    In einem Vortrag auf der Google I/O widmete sich der Softwarehersteller dem Thema Android-Sicherheit, und all den diesbezüglichen Verbesserung in aktuellen und kommenden Versionen des Betriebssystems. Beinahe schon beiläufig liefert Android-Sicherheitschef Dave Kleidermacher dabei eine echte Überraschung.

    Sicherheitsversprechen

    Google zwingt die Hardwarehersteller künftig zur Auslieferung von regelmäßigen Sicherheits-Updates. Dies sollte die Sicherheitslage unter Android noch einmal massiv verbessern, zeigt sich Kleidermacher überzeugt. Festgelegt werden diese Regeln über jene OEM-Verträge, die jeder Hersteller für seine Geräte unterschreiben muss.

    Auf Nachfrage des STANDARD wollte sich Kleidermacher allerdings auf keinen näheren Details einlassen. So betonte er vage, dass es "regelmäßige" Sicherheitsaktualisierungen geben müsse, einen fixen Zeitrahmen nannte er hingegen nicht. Insofern ist davon auszugehen, dass es nicht um monatliche Updates geht sondern dieser Wert irgendwo im Bereich von 3-6 Monaten liegt. Auch über welchen Zeitraum diese Vereinbarung gilt, konnte Kleidermacher nicht umgehend sagen. Zudem ist klar, dass sich all dies nur auf neue Geräte auswirken wird, da erst da neue OEM-Abmachungen wirksam werden.

    Android Protected Confirmation

    Im Anschluss präsentierte seine Kollegin Xiaowen Xin einige der zentralen Sicherheitsverbesserungen unter Android P. So gibt es mit der neuen Betriebssystemversion ein System namens "Android Protected Confirmation", das App-Anbietern Zugriff auf die Möglichkeiten manipulationssicherer Hardware (TEE) bietet.

    Solche Komponenten sind an sich nichts neues, dabei handelt es sich um Zusatzchips, die bei vielen aktuellen Smartphones zum Schutz des Lock-Screens und den Keys zur lokalen Datenspeicherverschlüsselung zum Einsatz kommen. Ein großer Teil der Sicherheit ergibt sich daraus, dass hier ein eigenes Betriebssystem läuft, das von Android komplett getrennt ist. Selbst wenn ein Angreifer Root-Zugang erhält, bekommt er damit keinen Zugang auf die Inhalte in dieser "Secure Enclave".

    Beispiele

    Mit der Android Protected Confirmation können künftig App-Hersteller sensible Vorgänge auf Smartphones stärker schützen, so die Idee. Als Beispiel verweist man etwa auf den Insulinpumpenhersteller Bigfoot Biomedical, der an einer entsprechenden Lösung arbeitet. Die Royal Bank of Canada will wiederum Überweisungen mit der Protected Confirmation zusätzlich absichern.

    Bei all dem sei betont, dass die Android Protected Confirmation hohe Hard- und Softwarenanforderungen hat. Insofern werden zunächst nur ausgewählte Smartphones, die bereits mit Android P ausgeliefert werden, diese Möglichkeiten bieten. Es ist wohl davon auszugehen, dass Googles kommende, dritte Pixel-Generation dazu zählen wird. (Andreas Proschofsky aus Mountain View, 10.5.2018)

    • David Kleidermacher und Xiaowen Xin vom Android-Sicherheitsteam bei ihrem Vortrag auf der Google I/O.
      foto: andreas proschofsky / der standard

      David Kleidermacher und Xiaowen Xin vom Android-Sicherheitsteam bei ihrem Vortrag auf der Google I/O.

    Share if you care.