Project Mainline: Android-Sicherheitsupdates teilweise über den Play Store verfügbar

Mit Project Mainline versucht Google zum wiederholten Mal, den Update-Prozess von Android zu beschleunigen. Die in Android Q integrierte Technik soll es ermöglichen, dass bestimmte Teile der monatlichen Sicherheitsupdates über den Play Store ausgeliefert werden. Google spricht in diesem Zusammenhang von insgesamt 12 Modulen, die eine monatliche Aktualisierung über Google Play ermöglichen.

Ähnlich wie bei App-Updates will Google damit den Code von Android auf den Geräten nicht nur schneller verteilen, sondern auch über einen längeren Zeitraum supporten. Derzeit erhalten Smartphones von Google etwa drei Jahre lang Sicherheitsupdates. Namhafte Hersteller wie Samsung halten sich in der Regel an diese Vorgaben. Samsung hat beispielsweise das Galaxy S7 drei Jahre lang mit monatlichen Sicherheitsupdates versorgt. Inzwischen aktualisiert es die S7-Smartphones nur noch alle drei Monate. Wie lange das der Fall sein wird, ist unklar.

„Wir planen, die Project-Mainline-Module auf die gleiche Weise zu aktualisieren, wie App-Updates heute ausgeliefert werden – die neuesten Versionen von Google Play im Hintergrund herunterzuladen und beim nächsten Start des Telefons zu laden. Der Quellcode für die Module wird weiterhin im Android Open Source Project enthalten sein und auch die Updates werden nach ihrer Veröffentlichung vollständig Open Source sein“, schreibt Google in einem Blog-Beitrag.

Google hebt außerdem hervor, dass Project Mainline auch Vorteile für App- und Spieleentwickler bietet. Sie können mit einer verbesserten Konsistenz hinsichtlich Plattformimplementierung in Schlüsselbereichen rechnen. Durch eine reduzierte Fragmentierung sollen die Entwicklungs- und Testkosten gesenkt werden.

Es sicher eine gute Idee, ein Betriebssystem immer aktuell zu halten, um Schwachstellen zu schließen und damit keinen Anreiz für Hacker zu bieten. Laut des deutschen Sicherheitsforschers Karsten Nohl ist es jedoch trotz fehlender Updates für Angreifer inzwischen sehr schwierig, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhänge. Ein fehlender Patch bedeute noch nicht, dass der Fehler auch ausgenutzt werden könne. Nohl erklärt daher, „Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken.“ Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen stattdessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“

Google hat gestern auf seiner Entwicklerkonferenz I/O die dritte Betaversion von Android Q vorgestellt. Die neueste Android-Version ist nicht nur für Pixel-Smartphones von Google verfügbar, sondern auch für 15 Partnergeräte von 12 OEMs erhältlich – das sind doppelt so viele Smartphones wie im Vorjahr.