Vor wenigen Tagen hat Google mit dem Rollout des Android-Sicherheitsupdate für den Monat März begonnen, das mittlerweile auf allen noch unterstützten Pixel-Smartphones angekommen sein sollte. Die Besitzer aller anderen Smartphones hingegen müssen meist etwas länger oder vielleicht auch vergeblich warten, was an der grundlegenden Systematik der Sicherheitsupdates liegt. Google hat allerdings mittlerweile mehr oder wenige strenge Vorgaben für alle Smartphone-Hersteller aufgelegt.
Android-Updates sind für alle Beteiligten ein schwieriges Thema: Google hätte gerne eine möglichst schnelle und zuverlässige Verbreitung. Die Smartphone-Hersteller scheuen den Aufwand und den Großteil der Nutzer interessiert das Thema trotz Sensibilisierung bis heute nur wenig. Aus dieser Kombination ergibt sich der aktuelle Stand, dass die Sicherheitsupdates nur mit geringer Motivation ausgeliefert und von den Nutzern installiert werden.
Google ist Smartphone-Hersteller und Betriebssystem-Entwickler zugleich, sodass der Rollout des aktuellen Sicherheitsupdate für die Pixel-Smartphones in den meisten Fällen unmittelbar nach der Veröffentlichung beginnt. Andere Smartphone-Hersteller brauchen in der Regel deutlich länger, wobei sich die Situation in den vergangenen zwei Jahren spürbar gebessert hat und überraschenderweise Hersteller wie Samsung manchmal sogar früher dran sind als Google. Das sind zwar Ausnahmefälle, wäre vor einiger Zeit aber noch vollkommen undenkbar gewesen.
Weil Sicherheitsupdates eine wichtige Rolle spielen, hat Google den Herstellern vor einiger Zeit einige Vorgaben vorgelegt, die mehr oder weniger streng sind und sie zu den Updates verpflichten. Im Folgenden die Bedingungen für die Smartphone-Hersteller, die seit Anfang 2019 gelten und bis heute nicht verändert worden sind.
- Alle Smartphone-Hersteller müssen mindestens vier Sicherheitsupdates im ersten Jahr nach dem Verkaufsstart ausliefern. Im zweiten Jahr sind sie ebenfalls zu einer nicht bekannten Anzahl Updates verpflichtet.
- Android Enterprise Recommended-Smartphones müssen Sicherheitsupdates drei Jahre lang innerhalb von 90 Tagen ausliefern.
- Smartphones mit besonderer Sicherheitsstufe müssen Sicherheitsupdates fünf Jahre lang in unbekannter Anzahl ausliefern.
- Android One-Smartphones müssen monatlich für drei Jahre mit Sicherheitsupdates versorgt werden.
Diese Bedingungen sind von den Smartphone-Herstellern recht einfach zu erfüllen, denn Google hat viele Lücken und Grauzonen gelassen. So werden sie etwa verpflichtet, das Update auszurollen, aber es gibt keinerlei Vorgaben für den Umfang. Und so kommt es, dass die Updates häufig lückenhaft sind und nicht alle von Google gestopften Lücken tatsächlich auch bei den Smartphones der Nutzer gestopft werden. Das hat ganz unterschiedliche Gründe, die zum Teil nachvollziehbar sind – vor allem bei den starken Herstellerspezifischen Anpassungen oder den Cloused Source-Lücken der Zulieferer wie etwa Qualcomm.
Kürzlich wurde bekannt, dass die Sicherheitsupdates in einigen Fällen sogar mehr Lücken öffnen als schließen, weil die Hersteller im Code herumpfuschen und – bei allem Respekt – überhaupt nicht wissen, was sie da tun. Das hat zumindest ein Googler kürzlich behauptet und hat dafür einiges an Zustimmung erhalten. Andere Hersteller wiederum orientieren sich so stark an Google und nehmen keinerlei Anpassungen vor, dass sie Update-Rekorde aufstellen können – so wie Essential. Obwohl das Unternehmen offiziell den Betrieb eingestellt hat, wird sogar das Update auf Android 11 noch ausgeliefert, zumindest die erste Developer Preview. Details dazu in diesem Artikel.
Bei XDA Developers findet ihr noch viele weitere interessante Details rund um die Android-Sicherheitsupdates, deren zeitlicher Ablauf, die Teilung in zwei verschiedene Update-Pakete und mehr. Außerdem wird begründet, warum die Hersteller in einigen Fällen auf die Auslieferung eines Updates verzichten oder dies stark verspätet ausliefern.