Google I/O 2018 | Android-Sicherheitsupdates künftig verpflichtend

Android und Updates - das leidige Thema. Im letzten Jahr hat Google zur Entwicklerkonferenz Google I/O den Weg für die leichtere Implementierung von Updates geebnet - Project Treble ist seit Android 8 Oreo verpflichtend und hat sich somit zumindest auf neuen Smartphones, die mit Oreo ausgeliefert werden schnell zum Standard entwickelt. Auch zur diesjährigen Google I/O gibt es wieder Babysteps in Richtung Verringerung der Android-Fragmentierung, diesmal in Bezug auf Sicherheitsupdates.

Google selbst stellt monatlich Patches gegen gefundene Sicherheitslücken zur Verfügung, Partnern im Android-Programm sogar vorab, was manche wie etwa Essential oder Nokia nutzen, um recht rasch auszuliefern. Manche Hersteller lassen sich jedoch Zeit und liefern nur quartalsweise Updates aus, oder gar nicht, beispielsweise bei günstigeren Handys. Letzteres soll Google-Partnern nun durch eine Änderung der Partnervereinbarung verboten werden.

In einem längeren Video zum Thema Android und Sicherheit (siehe unten) kündigte David Kleidermacher, bei Google zuständig für Sicherheitsaspekte von Android, eine entsprechende Änderung des OEM-Agreements an:

We’ve also worked on building security patching into our OEM agreements. Now this will really … lead to a massive increase in the number of devices and users receiving regular security patches.

Sicher ein Schritt in die richtige Richtung, doch einige Fragen bleiben vorerst offen. So wird bislang mit keinem Wort erwähnt, in welchem Zeitraum OEMs die Updates ausliefern müssen, ob beispielsweise ein Rollout alle drei Monate reicht. Auch ist noch unklar, für wie viele Jahres diese Pflicht gilt, bei Pixel-Phones sind es etwa 3 Jahre. Last but not least, ist auch die Kontrollfrage ungeklärt - wie Vorfälle in der Vergangenheit gezeigt haben, ein nicht zu vernachlässigender Aspekt.

Quelle(n)