Google verpflichtet Android-Partner zur Bereitstellung von Sicherheitsupdates für zwei Jahre

Google verpflichtet inzwischen zumindest einige Android-Partner, ihre Smartphones und Tablets mindestens über einen Zeitraum von zwei Jahren mit Sicherheitsupdates zu versorgen. Das soll aus vertraulichen Vertragsunterlagen hervorgehen, die The Verge vorliegen. Demnach sollen die Updates zudem regelmäßig bereitgestellt werden.

Die Bedingungen sollen für alle Geräte gelten, die nach dem 31. Januar 2018 eingeführt und von mehr als 100.000 Nutzern aktiviert wurden – wer einen Ladenhüter gekauft hat, muss also möglicherweise auf Sicherheitspatches verzichten. Ein weiteres Zugeständnis seitens Google ist, dass seit 31. Juli 2018 lediglich mindestens 75 Prozent der Geräte eines Herstellers, für die Updates vorgeschrieben sind, auch tatsächlich mit diesen versorgt werden müssen. Erst ab 31. Januar 2019 müssen alle Geräte, die unter die Klausel fallen, regelmäßig gepatcht werden.

Im ersten Jahr nach der Einführung eines Produkts sollen Hersteller „mindestens vier Sicherheitsupdates“ verteilen. Im zweiten Jahr sind die Patches zwar immer noch vorgeschrieben – Google macht zur Häufigkeit der Updates jedoch keine Vorgaben.

Eine andere Klausel schreibt jedoch vor, dass Geräte am Ende jedes Monats vor allen Anfälligkeiten geschützt sein müssen, die seit mehr als 90 Tagen bekannt sind. Dadurch will Google offenbar gewährleisten, dass auch ohne genaue Vorgaben für die Veröffentlichung von Patches Hersteller ihre Produkte regelmäßig aktualisieren müssen.

Google behält sich dem Bericht zufolge auch Sanktionen gegen Hersteller vor, die die Patch-Richtlinien nicht einhalten. Ihnen will das Unternehmen möglicherweise die Zertifizierung neuer Geräte verweigern.

Ein Google-Sprecher erklärte auf Nachfrage von The Verge, dass die 90-Tage-Frist als Mindestanforderung angesehen werde. Zudem habe Google bereits erklärt, dass schon jetzt „die Mehrheit der mehr als 200 unterschiedlichen Android-Geräte von mehr als 30 Geräteherstellern“, die derzeit im Umlauf seien, in den vergangenen 90 Tagen ein Sicherheitsupdate erhalten hätten.

Schon im Sommer hatte David Kleidermacher, bei Google für die Sicherheit von Android zuständig, auf der Entwicklerkonferenz Google I/O angekündigt, Google habe eine Klausel zu seinen Verträgen mit Android-Partnern hinzugefügt, die regelmäßige Sicherheitsupdates vorschreibt. Allerdings war bisher nicht klar, auf welche Geräte und auf welchen Zeitraum sich diese Klauseln beziehen.