Infos Google zwingt Anbieter von Android-Smartphones zu Sicherheitsupdates

josef.13

Moderator
Mitarbeiter
Mitglied seit
1. Juli 2009
Beiträge
18.831
Gefällt mir
19.168
Punkte
113
Der Internetkonzern Google will in naher Zukunft beginnen, die regelmäßige Versorgung mit Sicherheitsupdates zur Bedingung für die Zertifizierung für Google Play zu machen. Letztlich werden die Hersteller von Android-Smartphones somit praktisch gezwungen, ihre Kunden mit aktuellen Sicherheitsupdates zu versorgen.

Wie Vertreter von Google im Zuge der gestern beendeten Entwicklerkonferenz Google I/O erklärten, arbeitet das Unternehmen darauf hin, die Versorgung mit Sicherheitsupdates in seinen Verträgen mit den Anbietern von Android-Smartphones festzuschreiben. Dadurch verspreche man sich einen "erheblichen Anstieg der Zahl der Geräte und Nutzer, die regelmäßig mit Sicherheitsupdates" beliefert werden.

Viele offene Fragen bleiben

Wann die neue Maßnahme greifen soll, ist ebenso noch offen wie die Frage, was man genau unter "regelmäßig" zu verstehen hat. Zwar veröffentlicht Google in monatlichem Abstand neue Sicherheitshinweise für sein Betriebssystem und liefert auch im Monatstakt neue Sicherheitsupdates an die Gerätehersteller, doch dies bedeutet nicht, dass diese auch in einem so kurzen Takt bei den Kunden landen.

Zwar aktualisieren einige Hersteller tatsächlich in monatlichem Abstand ihre Geräte, doch beschränkt sich dies in den meisten Fällen auf High-End-Modelle. Bei Samsung werden zum Beispiel nur wenige, meist hochpreise Geräte, monatlich mit neuen Sicherheitsupdates versorgt. Für günstigere Modelle setzt der koreanische Elektronikgigant hingegen auf eine Aktualisierung im Abstand von jeweils drei Monaten.

Bisher hat Google die Aktualisierung der mit seinem mobilen Betriebssystem Android ausgerüsteten Smartphones mit regelmäßigen Sicherheitsupdates nicht zur Pflicht gemacht. Stattdessen ist es vollkommen den Geräteherstellern überlassen, wann und ob sie ihre Produkte auf den neuesten Stand bringen. Dadurch ist die überwältigende Mehrheit der im Markt befindlichen Android-Geräte wohl keineswegs gegen aktuelle Exploits geschützt.

Letztlich ist eigentlich nur eine verpflichtende Aktualisierung in monatlichem Abstand wirklich effektiv, wenn es um den Schutz der Anwender geht. Fraglich ist dabei, wie Google sicherstellen will, dass die Hersteller sich auch tatsächlich an seine Vorgaben halten, denn erst vor einigen Wochen war bekannt geworden, dass einige Hersteller bei der Integration der Sicherheitsupdates nicht gerade ehrlich agieren.

24219.jpg

Quelle; winfuture
 
Gefällt mir: salatin

support.org

Ist oft hier
Mitglied seit
7. Februar 2017
Beiträge
159
Gefällt mir
42
Punkte
28
Wenn Google nun noch die Hersteller Zwingt neue Android Versionen zu Upgraden auf Handys die nicht älter als 3 jahre sind. Dann wäre es eigentlich perfekt
 

josef.13

Moderator
Mitarbeiter
Mitglied seit
1. Juli 2009
Beiträge
18.831
Gefällt mir
19.168
Punkte
113
Google zwingt Android-Hersteller zu Sicherheits-Updates
Google hat auf seiner Entwickler-Messe Google I/O im kalifornischen Mountain View verkündet, Erstausrüster (OEM) von Android-Geräten künftig vertraglich zu regelmäßigen Sicherheits-Updates zu verpflichten. Die meisten Smartphone-Hersteller beliefern nur sehr unregelmäßig und vor allem nur hochpreisige Modelle. Google hingegen versorgt seine Gerätereihen Nexus und Pixel monatlich mit Sicherheits-Updates.

Auf der Google I/O erklärte David Kleidermacher, Chef der Android-Sicherheit, Änderungen am Sicherheitsmodell der kürzlich vorgestellten nächsten Version Android P würden die Sicherheit von Android wesentlich verbessern. Google liefert im Monatstakt neue Sicherheitsupdates an die Gerätehersteller, doch dies bedeutet nicht, dass diese auch in einem so kurzen Takt bei den Kunden landen. Zwar aktualisieren einige Hersteller tatsächlich in monatlichem Abstand ihre Geräte, doch beschränkt sich dies in den meisten Fällen auf High-End-Modelle. Bei Samsung werden zum Beispiel nur wenige, meist hochpreise Geräte, monatlich mit neuen Sicherheitsupdates versorgt. Für günstigere Modelle hingegen nur auf eine Aktualisierung im Abstand von jeweils drei Monaten.

Bislang gibt es in den Lizenzbestimmungen des Betriebssystems keine Vorgabe, die Unternehmen dazu zwingt, die monatlich von Google herausgegebenen Updates an den Kunden weiter zu geben. Die Sicherheitsupdates werden in der Regel in der ersten Woche eines jeden Monats veröffentlicht. Smartphone-Hersteller erhalten die monatlichen Sicherheitspatches jedoch einen Monat im Voraus. Dies gibt OEMs und Anbietern Zeit, Schwachstellen auszumerzen, bevor das Sicherheitsupdate veröffentlicht wird.

„Wir haben daran gearbeitet Sicherheits-Patches in unsere OEM-Vereinbarungen zu integrieren. Das wird zu einem massiven Anstieg der Anzahl von Geräten und Benutzern führen, die regelmäßig Sicherheits-Patches erhalten“,

sagte Androids Sicherheitschef David Kleidermacher bei der Vorstellung.

Letztlich ist nur eine verpflichtende Aktualisierung in monatlichem Abstand wirklich effektiv, wenn es um den Schutz der Anwender geht. Fraglich ist dabei, wie Google sicherstellen will, dass die Hersteller sich tatsächlich an seine Vorgaben halten. Aus einer aktuellen Studie der deutschen Security Research Labs geht hervor, dass selbst Hersteller, die monatlich Updates ausliefern, oft wichtige Patches auslassen, ihre Anwender aber mit falschen Angaben in Sicherheit wiegen.

Im Anschluss präsentierte seine Kollegin Xiaowen Xin einige der zentralen Sicherheitsverbesserungen unter Android P. So gibt es mit der neuen Betriebssystemversion ein System namens „Android Protected Confirmation“, das App-Anbietern Zugriff auf die Möglichkeiten manipulationssicherer Hardware (TEE) bietet.
Solche Komponenten sind an sich nichts neues, dabei handelt es sich um Zusatzchips, die bei vielen aktuellen Smartphones zum Schutz des Lock-Screens und den Keys zur lokalen Datenspeicherverschlüsselung zum Einsatz kommen. Ein großer Teil der Sicherheit ergibt sich daraus, dass hier ein eigenes Betriebssystem läuft, das von Android komplett getrennt ist. Selbst wenn ein Angreifer Root-Zugang erhält, bekommt er damit keinen Zugang auf die Inhalte in dieser „Secure Enclave“.

Quelle; tarnkappe
 
Mitglied seit
20. August 2009
Beiträge
4.553
Gefällt mir
7.097
Punkte
113
Oh je, dann hätten aber Firmen wie z.B. SAMSUNG viel zu tun und könnten sich nicht mehr voll auf das viel wichtigere Marketing konzentrieren ;)
 
Oben