Google veröffentlicht etwa alle vier Wochen, stets zu Anfang eines Monats, das Android-Sicherheitsupdate und stopft mit diesem meist Dutzende Sicherheitslücken und Bugs im Betriebssystem. Der Rollout der Sicherheitsupdate auf die Android-Smartphones liegt allerdings in der Verantwortung der Hersteller, die diese häufig noch geringfügig anpassen müssen. Ein Google-Mitarbeiter beklagt nun, dass dabei manchmal mehr Sicherheitslücken aufgemacht als gestopft werden.
Android ist insgesamt ein sehr sicheres Betriebssystem, das trotz aller Offenheit nur sehr schwer von Außen zu knacken ist. Damit das so bleibt, sind Googles Entwickler ständig damit beschäftigt, neu entdeckte Lücken zu stopfen und Bugs zu beheben, die dann einmal im Monat gesammelt als Sicherheitsupdate veröffentlicht werden. Google, in der Zweitrolle als Smartphone-Hersteller, sorgt für einen zeitnahen Rollout auf die Pixel-Smartphones. Alle anderen Hersteller sind dafür selbst verantwortlich.
Es ist vorbei: Die Smartphone-Ambitionen des Android-Erfinders sind gescheitert – Essential stellt Betrieb ein
Das stets zu Beginn eines neuen Monats veröffentliche Android-Sicherheitsupdate wird den Smartphone-Hersteller schon einige Tage vorher zur Verfügung gestellt, sodass sie die ersten Anpassungen für ihr Geräte vornehmen und das Update zeitnah an ihre Nutzer verteilen können. Insbesondere Samsung hat sich in der Vergangenheit mehrfach sehr positiv hervorgetan und das Update zum Teil noch vor Google ausgeliefert – wenn auch eher versehentlich.
Doch ein Mitarbeiter von Googles Project Zero, das stets auf der Suche nach Sicherheitslücken ist, scheint von der aktuellen Struktur nur wenig begeistert. Jann Horn beklagt, dass durch die Anpassungen der Smartphone-Hersteller nicht selten neue Bugs und Sicherheitslücken innerhalb dieser Sicherheitsupdates aufgemacht werden. Im schlimmsten Falle erhalten die Nutzer nach dem Update also nicht unbedingt ein sichereres Smartphone, sondern eines mit noch mehr Sicherheitslücken.
Dieses Problem entsteht durch die von den Herstellern vorgenommenen Anpassungen
, die sie auf einer solch tiefen Kernel-Ebene eigentlich gar nicht vornehmen müssten. Dank zahlreicher Projekte von Treble bis Baseline müssten die Hersteller das Update fast nur noch durchreichen. Tun sie aber nicht.
Das große Problem ist es laut Jann Horn, dass die Hersteller Entwickler an den Kernel setzen, die sich mit diesem nicht vollständig auskennen und die Komplexität des gesamten Produkts kaum überschauen kann. Das führt dann dazu, dass einige Dinge unbedacht geändert werden, die dann zwar problemlos funktionieren, aber zugleich neue Angriffsflächen bieten. Horn meint damit ausdrücklich nicht, dass die Entwickler nicht fähig genug sind, aber hochkomplexe Dinge wie den Android-Kernel kann man eben nicht im Vorbeigehen verändern, sondern muss alle Zusammenhänge kennen.
Horn selbst hat vor einiger Zeit Sicherheitslücken im Android-Kernel einiger Samsung-Smartphones entdeckt, die dort eigentlich nicht zu finden sein dürften und auf die von ihm angekreideten Anpassungen zurückzuführen sind. Problematisch daran ist es natürlich, dass diese Sicherheitslücken nur auf wenigen Geräten zu finden sind und dementsprechend von Google normalerweise gar nicht entdeckt werden. Das gibt Angreifern die Möglichkeit, die Kenntnis einer solchen Lücke über einen langen Zeitraum voll auszunutzen.
Im Project Zero-Blog gibt es zu dieser Thematik einen sehr langen Beitrag mit zahlreichen Code-Beispielen und technischen Erklärungen. Ich habe mir das ehrlicherweise nicht durchgelesen und würde es mit Sicherheit auch nicht verstehen, aber für den einen oder anderen unserer Leser könnte es vielleicht ganz interessant sein.