Editorial: Android und der Update-Frust
Updates und Android sind oft ein Ärger-Thema
Bild: Google / Montage: teltarif.de
Das Sicherheits-Debakel rund um Stagefright zeigt einmal mehr: Android hat ein Problem. Und das ist nicht nur die Sicherheit, sondern vor allem die schleppende Auslieferung von System-Updates.
Im Smartphone-Zeitalter sollte es bei den Herstellern zum guten Ton gehören, regelmäßig System-Updates zu verteilen. Doch die Hersteller schlafen, verweigern Updates oder verschleppen sie um Monate. Das hat verschiedene Gründe: Zu viele unterschiedliche Devices, langwierige Anpassungen der Software an die Hardware, Sonderwünsche von Netzbetreibern und vielleicht auch mangelndes Problembewusstsein. Kunden sollten sich das nicht bieten lassen! Die Dramatik der Lage wird bei einem Blick auf die Versionsverteilung klar.
Armutszeugnis: Versionsverteilung von Android
Updates und Android sind oft ein Ärger-Thema
Bild: Google / Montage: teltarif.de
Wie die Zeit vergeht: Mitte März legte Google das Bugfix-Release Android 5.1 vor. Jetzt, fast fünf Monate später, läuft diese Android-Version auf gerade einmal 2,6 Prozent der Android-Devices. Version 5.0, die nun beinahe zehn Monate alt ist, kommt auf einen Marktanteil von immerhin 15,5 Prozent. Zusammengerechnet hat Android Lollipop derzeit eine installierte Basis von 18,1 Prozent.
Aber es wird schlimmer: Mehr als 20 Prozent aller Android-Nutzer verwenden mit Android 4.1 und älter ein Betriebssystem, das älter als 3 Jahre ist! 3 Jahre! Dazu kommen 15,9 Prozent Marktanteil für Android 4.2, das mittlerweile 2 Jahre und 9 Monate auf dem Buckel hat. Insgesamt haben Android-Versionen bis einschließlich Android 4.3 (gut zwei Jahre alt) einen Marktanteil von 42,6 Prozent. Gerade einmal 9 Prozent der Android-Geräte laufen mit Ice Cream Sandwich (4.0) und älter.
Nach knapp zwei Jahren hat es Android 4.4 auf immerhin 39,3 Prozent der Smartphones und Tablets geschafft.
Ein Vergleich mit den Zahlen von Apples iOS ist nicht ganz fair, aber so ist er nun einmal, der Konkurrenzkampf: 85 Prozent der iPhones und iPads laufen mit dem aktuellen iOS 8. Apple veröffentlichte diese Version im September 2014, weist in seinen Statistiken Unterversionen aber nicht gesondert aus. iOS 7 kommt auf 13 Prozent der Devices zum Einsatz. Laut den Apple-Zahlen haben damit 98 Prozent aller mobilen Apple-Devices ein Betriebssystem, das jünger ist als zwei Jahre. Bei Android dagegen gerade einmal 57,4 Prozent.
Um es auf den Punkt zu bringen: Die Versionsverbreitung bei Android ist ein Armutszeugnis für Google und alle Hersteller von Android-Smartphones!
Und dann kam Stagefright
Sicherheitslücken haben eine lange Tradition bei Android. Alle paar Monate gibt es schwerwiegende Lücken, die in aktuellen Android-Versionen zuweilen sogar gefixt werden. Natürlich nicht bei älteren - warum diese Entscheidung der Hersteller extrem problematisch ist, lässt sich an den oben genannten Zahlen leicht festmachen.
Dann kam Stagefright.
Kein Update verfügbar - oft gibt es aber neuere Android-Versionen.
Bild: teltarif.de
Plötzlich wollen mehrere Hersteller monatliche Sicherheits-Updates verteilen. Hier muss sich aber erst zeigen, dass die Aktualisierungen zeitnah für die - zum Teil - riesige Modellpalette der Hersteller verteilt werden. Und selbst wenn: Sicherheits-Updates heißt noch lange nicht, dass auch neue Hauptversionen verbreitet werden. Darum muss es aber gehen: Smartphone-Käufer müssen Zugriff auf neue Versionen von Android erhalten.
Neue Android-Versionen sind sicherer
Denn neuere Versionen von Android sind bei Weitem nicht so anfällig, wie die ganz alten. Android 4.1 zum Beispiel ergänzte die Technik Address Space Layout Randomization (ASLR). Die bewirkt - vereinfacht formuliert dies: Das System weist den Apps Speicherbereiche zufällig zu, sodass ein Pufferüberlauf nicht mehr ohne weiteres zur Folge hat, dass ein Angreifer seinen gewünschten Code ausführen kann. ASLR ist eine wichtige Sicherheits-Maßnahme, die es Entwicklern von Exploits erheblich schwerer macht. Einer der Entdecker von Stagefright schreibt in einem Tweet, seine Konkurrenten sollten sich nicht damit beschäftigen, Stagefright nachzubauen, sondern versuchen, ASLR auszuhebeln.
Anderes Beispiel: Erst seit Android 5.0 ist die fehleranfällige Webview-Komponente einzeln aktualisierbar. WebView wird oft von Smartphone-Apps eingesetzt, um Web-Inhalte anzuzeigen. Auch Werbebanner in Apps greifen auf WebView zurück. Sicherheitslücken sind dort daher besonders schwerwiegend, zumal sie häufig nicht durch Techniken wie ASLR zu zähmen sind. In der Vergangenheit kamen aber immer wieder Schwachstellen zum Vorschein, die Google nicht einmal mehr beheben wollte (warum sollten dann andere Hersteller in die Bresche springen?). Vor Android 5.0 musste ein Firmware-Update erfolgen, um eine Sicherheitslücke in WebView zu stopfen. Alte Versionen von Android sind deswegen besonders gefährdet, weil sie mit hoher Wahrscheinlichkeit über eine WebView-Komponente verfügen, die hoffnungslos veraltet ist und Sicherheitslücken en masse aufweist.
Sorry, liebe Hersteller: Ihr macht euren Job nicht gut genug
Stagefright scheint die Hersteller aus ihrem Dornröschen-Schlaf aufgeschreckt zu haben. Wenn Google, Samsung und LG wirklich ihre monatlichen Updates zuverlässig verbreiten und sich vielleicht noch weitere bedeutende Player anschließen, dann ist schon einmal viel gewonnen.
Die wahre Krux sind aber die neuen Android-Hauptversionen. Hier ist Google gefordert, seinen Partnern deutlich zu verklickern, dass zügige Updates für Nutzer, Entwickler und Hersteller gleichermaßen wichtig sind. Es ist zu wenig, Mittelklasse- und Einsteiger-Smartphones von Updates ganz auszuschließen und hochpreisige Handys nach Gutdünken zu aktualisieren.
Fakt ist: Etwa 80 Prozent der Android-Devices laufen derzeit mit Android 4.4 oder älter. Was auch immer Google derzeit unternimmt, die Verteilung aktueller Android-Versionen zu beschleunigen: Es reicht nicht aus! It's not good enough! Im Arbeitszeugnis würde stehen: Google war stets bemüht...