Categories: MobileMobile OS

Project Mainline: Android-Sicherheitsupdates teilweise über den Play Store verfügbar

Mit Project Mainline versucht Google zum wiederholten Mal, den Update-Prozess von Android zu beschleunigen. Die in Android Q integrierte Technik soll es ermöglichen, dass bestimmte Teile der monatlichen Sicherheitsupdates über den Play Store ausgeliefert werden. Google spricht in diesem Zusammenhang von insgesamt 12 Modulen, die eine monatliche Aktualisierung über Google Play ermöglichen.

Ähnlich wie bei App-Updates will Google damit den Code von Android auf den Geräten nicht nur schneller verteilen, sondern auch über einen längeren Zeitraum supporten. Derzeit erhalten Smartphones von Google etwa drei Jahre lang Sicherheitsupdates. Namhafte Hersteller wie Samsung halten sich in der Regel an diese Vorgaben. Samsung hat beispielsweise das Galaxy S7 drei Jahre lang mit monatlichen Sicherheitsupdates versorgt. Inzwischen aktualisiert es die S7-Smartphones nur noch alle drei Monate. Wie lange das der Fall sein wird, ist unklar.

„Wir planen, die Project-Mainline-Module auf die gleiche Weise zu aktualisieren, wie App-Updates heute ausgeliefert werden – die neuesten Versionen von Google Play im Hintergrund herunterzuladen und beim nächsten Start des Telefons zu laden. Der Quellcode für die Module wird weiterhin im Android Open Source Project enthalten sein und auch die Updates werden nach ihrer Veröffentlichung vollständig Open Source sein“, schreibt Google in einem Blog-Beitrag.

Google hebt außerdem hervor, dass Project Mainline auch Vorteile für App- und Spieleentwickler bietet. Sie können mit einer verbesserten Konsistenz hinsichtlich Plattformimplementierung in Schlüsselbereichen rechnen. Durch eine reduzierte Fragmentierung sollen die Entwicklungs- und Testkosten gesenkt werden.

Es sicher eine gute Idee, ein Betriebssystem immer aktuell zu halten, um Schwachstellen zu schließen und damit keinen Anreiz für Hacker zu bieten. Laut des deutschen Sicherheitsforschers Karsten Nohl ist es jedoch trotz fehlender Updates für Angreifer inzwischen sehr schwierig, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhänge. Ein fehlender Patch bedeute noch nicht, dass der Fehler auch ausgenutzt werden könne. Nohl erklärt daher, „Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken.“ Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen stattdessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“

Google hat gestern auf seiner Entwicklerkonferenz I/O die dritte Betaversion von Android Q vorgestellt. Die neueste Android-Version ist nicht nur für Pixel-Smartphones von Google verfügbar, sondern auch für 15 Partnergeräte von 12 OEMs erhältlich – das sind doppelt so viele Smartphones wie im Vorjahr.

HIGHLIGHT

Safer Internet Day: Identität und Privatsphäre schützen

Im Rahmen des Safer Internet Day erläutert ZDNet sechs Maßnahmen, wie man die Sicherheit im Internet erhöhen und den Schutz der Privatsphäre verbessern kann.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago