10Aug
Hier ist ein schmutziges Geheimnis: Die meisten Android-Geräte erhalten keine Sicherheitsupdates. Fünfundneunzig Prozent der Android-Geräte können jetzt über eine MMS-Nachricht kompromittiert werden, und das ist nur der prominenteste Bug. Google hat keine Möglichkeit, Sicherheitspatches auf diese Geräte anzuwenden, und Herstellern und Netzbetreibern ist es egal.
Das Android-Ökosystem wird zu einer toxischen Höllenlandschaft ungepatchter Geräte mit Sicherheitslücken. Zum Vergleich, wenn Apples iOS ein Sicherheitsloch hat, kann Apple einfach alle unterstützten iPhones mit einer neuen Version aktualisieren. Selbst Windows-Handys sind hier besser als Android.
Android-Telefone sind nicht garantiert, um Sicherheits-Updates zu erhalten
Der aktuelle Stagefright MMS-Bug gibt uns eine gute Fallstudie, die demonstriert, was passiert, wenn jemand eine Sicherheitslücke in Android entdeckt. Google erstellt Patches und wendet sie auf den Open Source-Projektcode von Android an. Google sendet diese Patches dann an Hardware-Hersteller - Samsung, HTC, Sony, LG, Motorola, Lenovo und andere. Die Beteiligung von Google endet hier. Sie können Hersteller nicht dazu zwingen, diese Patches tatsächlich zu veröffentlichen. Dies scheint oft dort zu sein, wo der Prozess endet.
Wenn ein Hersteller diese Patches anwenden möchte, müssen sie diese auf den Android-Code eines Geräts anwenden und eine neue Android-Version für dieses Gerät erstellen. Dies ist ein separater Prozess für jedes einzelne Telefon und Tablet, das der Hersteller unterstützt. Jeder Hersteller muss sich dann an den Netzbetreiber wenden, über den er die Telefone verkauft hat, und jedem Mobilfunkanbieter auf der ganzen Welt jeden einzelnen gerätespezifischen Patch bereitstellen. Die Beteiligung des Herstellers endet hier. Selbst wenn sie verrückt werden und jedes einzelne Gerät, das sie unterstützen, patchen - sehr unwahrscheinlich - können sie Carrier nicht dazu zwingen, diese Patches tatsächlich anzuwenden.
Carrier können dann das neue, gepatchte Build von Android an ihre Geräte senden oder nicht. Wenn dies der Fall ist, besteht die Chance, dass die Sicherheitslücken nach einer langen Testphase bestehen bleiben. Selbst wenn ein Netzbetreiber dies tun möchte, besteht eine gute Chance, dass er das Update nur auf einigen Flaggschiff-Telefonen und nicht auf älteren Geräten testen möchte.
In der Praxis erhalten die meisten Android-Geräte keine Sicherheitsupdates und bleiben anfällig. Google hat sich nicht dafür entschieden, die Bereitstellung von Sicherheitsupdates durchzusetzen, da sie andere Dinge in Verträgen mit Herstellern durchsetzen. Hersteller erstellen viele, viele verschiedene Geräte und möchten nicht alle aktualisieren. Carriers versenden viele, viele verschiedene Geräte und wollen sie nicht testen. Statt Updates zu liefern und alte Telefone zu warten, würden sie eher Kunden dazu bringen, neue Geräte zu kaufen. Diese Sicherheitslücken wurden in den neuesten Builds von Android behoben, so dass ein neues Gerät sicher ist - zumindest bis mehr Löcher gefunden und nicht gepatcht wurden.
Ja, die Funktion "Nach Updates suchen" auf Ihrem Android-Gerät überprüft nur, ob es Updates gibt, die vom Hersteller und vom Netzbetreiber genehmigt wurden. Es ist kein zuverlässiger Weg, um sicherzustellen, dass Sie Sicherheitsupdates haben.
-iPhones sind garantiert zeitnahe Sicherheitsupdates
Das Android-Update-Modell ist entsetzlich kaputt. Es geht nicht nur darum, die neuesten und besten Funktionen zu erhalten. Stattdessen können Sie nicht garantieren, dass Sie die aktuellen Sicherheitspatches haben. Es gibt wirklich keine Möglichkeit, genau zu sagen, welche Sicherheitslücken in Ihrem Gerät gepatcht wurden, da Sie davon abhängig sind, dass der Hersteller den Patch zu seinem benutzerdefinierten Build von Android hinzufügt und auf Ihrem Gerät installiert.
Google hat versucht, dies mit den Google Play-Diensten zu vermeiden, die automatisch auf allen Android-Geräten aktualisiert werden. Aber es kann nur so viel tun. Alle Android-Geräte mit Android 4.4.4 und älter - also die meisten Android-Geräte - haben derzeit einen Webbrowser voller Sicherheitslücken, da Google sie nicht aktualisieren kann. Und jetzt können fast alle Android-Geräte mit einer MMS kompromittiert werden.
Wirklich, das ist schrecklich. Stellen Sie sich vor, Windows-Laptops hätten niemals Sicherheitsupdates von Microsoft erhalten. Stattdessen würde Microsoft Patches für Dell, Lenovo, HP und andere Hersteller herausgeben. Der Hersteller könnte sich entscheiden, es zu patchen oder nicht, und wenn sie sich entscheiden, es zu patchen, müsste dieser Patch von dem Geschäft genehmigt werden, von dem Sie den Laptop gekauft haben, bevor er Sie erreichte. Microsoft würde dafür zu Recht über die Kohle geharkt werden. Stattdessen veröffentlicht Microsoft einen Patch, der Benutzern aller Windows-PC-Modelle über Windows Update zur Verfügung gestellt wird. Sogar Google Chrome funktioniert auf diese Weise, ohne dass Hersteller in die Quere kommen.
Möchten Sie eine tatsächliche Garantie für Sicherheitsupdates für Ihr Smartphone erhalten? Sie müssen ziemlich viel ein iPhone kaufen, obwohl sogar Windows-Telefone von Microsoft hier Android voraus sind. Wenn ein Sicherheitslücken in einem iPhone entdeckt wird, kann Apple einen Patch für jeden iPhone-Benutzer auf einmal freigeben - selbst Carrier stehen nicht im Weg.
-Berechtigungen und Datenschutzkontrollen sind besser auf iOS,
App-Berechtigungen sind ein weiterer Fall, in dem iPhones Android-Telefone bemängeln. Android begann stark und bietet "App-Berechtigungen" - Sie können sehen, was eine App erfordert, bevor Sie es installieren und wählen, es nicht zu installieren.iPhones haben jetzt ein verbessertes Berechtigungssystem, bei dem Sie tatsächlich auswählen können, auf welche Daten eine App zugreifen darf. Möchten Sie eine App verwenden, aber nicht auf Ihre Kontakte oder andere sensible Daten zugreifen? Sie können dies unter iOS tun.
Auf Android sind App-Berechtigungen eher wie Anforderungen - nimm es oder lass es. Apps benötigen oft viel mehr Berechtigungen, als sie wirklich benötigen, und Sie wissen nie wirklich, ob das von Ihnen installierte Spiel Ihre Kontaktliste auf einen Remote-Server überträgt. Google arbeitet daran, zukünftigen Android-Versionen ein Berechtigungssteuerelement hinzuzufügen, aber das ist zu wenig, zu spät. Solche Funktionen sind derzeit nur in benutzerdefinierten ROMs von Drittanbietern verfügbar, nachdem Google den verborgenen Berechtigungsmanager von Android entfernt hat.
iPhones geben Ihnen tatsächlich die Kontrolle darüber, welche Apps auf Ihrem Telefon ausgeführt werden können. Dabei werden die App-Berechtigungen als hilfreiche Datenschutzkontrollen angezeigt, die jeder verstehen kann. Dies schützt Ihre privaten Daten. Bei Android liegt es wirklich nur an der App - Sie können nur steuern, ob Sie diese App verwenden oder nicht.
Der gesperrte App-Store von Apple ist beim Sperren bestimmter Inhaltstypen über Bord gegangen, aber nur Apps aus einer freigegebenen Quelle erlauben zusätzliche Sicherheit vor Malware. Die meiste Malware auf Android kommt von außerhalb von Google Play, oft wenn ein Nutzer eine Raubkopie herunterlädt und installiert. Dies ist nicht möglich, ohne ein iPhone jailbreaking. Der Genehmigungsprozess für den iOS-App-Store ist ebenfalls etwas rigoroser, da eine Person, die die App tatsächlich testet, eher ein automatisierter Algorithmus ist.
Google muss diese Situation beheben. Es ist inakzeptabel, dass die meisten Android-Geräte keine Sicherheitsupdates erhalten und anfällig für eine Vielzahl von Sicherheitslücken sind. Viele Geräte verfügen sogar über gesperrte Bootloader, die verhindern, dass Sie den Fehler selbst beheben, indem Sie ein benutzerdefiniertes ROM installieren.
Ja, Android ist eine offene Plattform, an der viele Hersteller beteiligt sind, aber auch Windows. Google muss seine Plattform in Ordnung bringen. Wir werden weiterhin immer schlimmere Sicherheitsausbrüche in Android-Ländern erleben, bis das gesamte Android-Ökosystem sich um die Sicherheit kümmert und in der Lage ist, Sicherheitsprobleme zeitnah und konsistent zu patchen, wie jedes andere moderne Betriebssystem.
Bild-Kredit: Indi Samarajiva auf Flickr