Die größte Sicherheitslücke, die Google in Android eingebaut hat

In den letzten Tagen kursieren Meldungen über gravierende Sicherheitslücken, die den Großteil aller Android-Geräte in Gefahr bringen. Vor allem aber machen sie ein großes Problem deutlich, nämlich, dass Google es verschlafen hat, Android sicher zu machen und somit für die größte Bedrohung der Nutzersicherheit selber gesorgt.

In allen großen Betriebssystemen gibt es Sicherheitslücken, egal ob Desktop- oder Mobile-OS. Es gibt allerdings Unterschiede in dem Umgang mit diesen Sicherheitslücken und hier wird ein großes Versäumnis Googles im Hinblick auf die Sicherheit Androids deutlich.

Anfang der Woche die Sicherheitslücke Stagefright bekannt. Diese betrifft nach Angaben der Entdecker rund 950 Millionen Android-Geräte, nämlich alle Geräte ab OS-Version 2.2 bis hin zum aktuellen Release Android 5.1.1 Stagefright ist tatsächlich eine sehr unschöne Sicherheitslücke, da sie es erlaubt, nur durch eine präparierte MMS-Nachricht, die der Nutzer nicht einmal öffnen muss, Zugriff auf das System zu erhalten. Allerdings ist die Panik, die die Entdecker und viele Medien verbreiten zwar stark übertrieben, da man sich relativ leicht vor entsprechenden MMS schützen kann. Google selber hat die Bedrohung entsprechend auch nicht als ‚kritisch‘, aber immerhin doch als ‚hoch‘ eingestuft. Und Google hat auch schon einen Fix für Stagefright parat und diesen an die Hersteller ausgeliefert. Und genau hier liegt das Problem.

Bei Betriebssystemen von Apple oder Microsoft haben sich die Hersteller die Möglichkeit erhalten, Updates selber auszuliefern. Dadurch können sie nicht nur neue Versionen verteilen, sondern eben auch Patches für kritische Sicherheitslücken. Google hat in dieser Hinsicht leider geschlafen. Die Verantwortung für die Updates, die ein Gerät erhält, wurde an die Hersteller übertragen. Entsprechend erhalten High-end-Geräte für rund 2 Jahre Updates, günstigere Geräte schauen da schon viel eher in die Röhre, wenn sie überhaupt jemals ein Update erhalten. Und genau das ist halt ein unverantwortlicher Umstand – selbst wenn eine kritische Sicherheitslücke bekannt wird und Google diese beseitigt, gibt es keine Möglichkeit diese an alle Nutzer zu bekommen, so dass diese angreifbar auf sich selbst gestellt zurückgelassen werden.
Google hat zwar in der Vergangenheit neue Sicherheitsvorkehrungen getroffen und bestehende verbessert – so hat das Unternehmen z.B. vor einiger Zeit begonnen, viele Bestandteile von Android als eigenständige App in den Google Play Store auszulagern, so dass diese sich jederzeit unabhängig aktualisieren lassen. Doch das betrifft eben nur einige Bestandteile von Android, nicht aber das komplette System – darum müssten sich dann eben die Hersteller kümmern.

Man kann den Herstellern hier aber nur bedingt einen Vorwurf machen, denn sie sind nun mal Unternehmen, die aus einem wirtschaftlichen Interesse handeln. Und mit alten Geräten verdient man halt kein Geld, sondern nur mit dem Verkauf neuer Hardware. Den Vorwurf muss man ganz klar Google machen, die diese Aufgabe eben diesen wirtschaftlich orientierte Herstellern überlassen hat. Hier hätte man vielleicht doch von der Konkurrenz aus Cupertino oder Redmond etwas lernen können – Microsoft schafft es ja auch, die Geräte unterschiedlichster Hersteller auf dem Laufenden zu halten. Und dabei geht es eben nicht nur um die neuesten Android-Versionen, auch wenn sich ununterbrochen Nutzer echauffieren, dass ihr Mittelklasse-Smartphone nach 2 Jahren nicht mehr Android Lollipop mit all den tollen neuen Funktionen erhält. Klar, viele neue Features, die Google sich überlegt, sind toll und ein paar von ihnen auf dem altgedienten Androiden in der Hosentasche nutzen zu können wäre noch toller, aber in der Hinsicht haben ja auch ältere iPhones das Nachsehen, dass Apple ihnen einfach einige Features der neuen iOS-Version vorenthält. Was hier um ein Vielfaches schwerer wiegt, ist die mangelnde Sicherheit der Nutzer.

Das alles ist natürlich kein neues Problem, sondern existiert seit der Entstehung Androids und wird fast genauso lange zu Recht moniert. Wie leichtsinnig dieser Schritt von Google allerdings ist, wird vor allem jetzt durch Stagefright deutlich. Und als wäre diese Sicherheitslücke nicht genug, ist zwei Tage nach Stagefright noch eine weitere Gefahr bekannt geworden, die zwar als als niedrig eingestuft, aber immerhin die Hälfte aller Android-Geräte, genauer alle Androiden mit Version 4.3 bis 5.1.1, betrifft. Dieser Bug kann das Gerät in einen vegetativen Status versetzen und es somit nahezu unnutzbar zu machen.

Es gibt bereits viele Sicherheitslücken für Android und es werden sicherlich in naher Zukunft noch einige mehr dazu kommen. Es ist also dringend an der Zeit, dass Google sich etwas einfallen lässt, wie sich die selbst geschaffene größte Sicherheitslücke beseitigen lässt, damit die Sicherheits-Updates auf allen Geräte landen.

Teaser & Image „android_3_wallpaper“ (adapted) by Jake Maymar (CC BY-SA 2.0)

About Daniel Kuhn
Daniel Kuhn leitet seit Juni 2015 die Blogs Android4you.de und Appleunity.de. Ansonsten schreibt Wahl-Berliner mit Leib und Seele als freier Journalist für Netzpiloten.de und Androidmag.de.