(Bild: Google)

Google macht Fortschritte im Kampf gegen Malware im Play Store, muss aber eingestehen, dass mehr als eine halbe Milliarde Android-Geräte die regelmäßigen Sicherheitsupdates der Firma nicht erhält. Viele dieser Geräte haben eklatante Sicherheitslücken.

Bei der Sicherheit von Android-Geräten ist laut Google "noch viel Luft nach oben". Im alljährlichen Fazit zur Android-Sicherheit verkauft die Firma das Jahr 2016 zwar als Sieg gegen Trojaner und schädliche Apps, die Bilanz zu den ausgespielten Sicherheitsupdates gibt allerdings zu denken. Nach wie vor bekommt "ungefähr die Hälfte" aller Android-Geräte die monatlichen Sicherheitsupdates von Google nicht. Die Rede ist hier nicht von Geräten, die diese essenziellen Updates verspätet bekommen, Google spricht von über einer halben Milliarde Smartphones und Tablets, die diese gar nicht erhalten haben – und damit eklatante Sicherheitsmängel aufweisen.

Die Stagefright-Katastrophe wirkt nach

Die Tatsache, dass Google gute Fortschritte beim Kampf gegen schädliche Apps macht, wirkt dagegen wie ein Trostpflaster. Im eigenen Store machen schädliche Apps nur ein halbes Promille aller Installationen aus, insgesamt sind es knapp sieben Promille aller installierten Apps. Ohne Updates für das unterliegende Betriebssystem, sind Googles Schutzmaßnahmen allerdings nur Flickwerk.

Denn die Sicherheitslücken, die in den ungepatchten Android-Geräten stecken, können zum Teil über verseuchte Mediendateien aus dem Netz ausgelöst werden und benötigen zum Kapern des Gerätes keine App-Installation. Was Google als "signifikaten Umbau beim Umgang mit Video- und Audio-Dateien" verkauft, ist in Wirklichkeit eine notwendige Reaktion auf eine nicht enden wollende Reihe von katastrophalen Programmierfehlern im Media-Framework Stagefright, die den Codenamen dieser Systemkomponente (Englisch für "Lampenfieber") im Nachhinein wie einen schlechten Witz wirken lässt.

Mehr Zusammenarbeit – aber wie?

Google will dieses Problem durch bessere Zusammenarbeit mit den Geräteherstellern verbessern. Das ist kein neuer Ansatz, die Firma schlug ähnliche Töne schon bei der Einführung der monatlichen Sicherheitspatches an. Nur geändert hat sich seitdem nicht sehr viel. Zwar arbeiten viele der großen Hersteller mit Google zusammen, um die Patches mehr oder weniger zeitnah auszuspielen, es gibt aber immer noch viele Hersteller, die Millionen von Geräten auf den Markt werfen und sich wenig für eine Zusammenarbeit mit Google interessieren. Wie die Android-Macher das konkret ändern wollen, bleibt auch nach dem neuesten Sicherheitsbericht und dem dazugehörigen Webinar äußerst unklar. Googles Aussagen zu dem Thema sind mehr als schwammig.

Wie fatal ungepatchte Android-Geräte sein können zeigen nicht zuletzt die Vault-7-Leaks. Demnach hat sich auch die CIA gerne solcher Lücken bedient, um ihre Ziele auszuspionieren. Je später solche Lücken gestopft werden, desto einfacher haben es Angreifer wie die US-Nachrichtendienste. Immerhin gibt sich Google Mühe, die Lücken so früh wie möglich zu entdecken. Im vergangenen Jahr hat man fast eine Million US-Dollar an unabhängige Sicherheitsforscher als Belohnungen für entdeckte Android-Lücken ausgezahlt. (fab)