-
Schlecht für Custom ROMs: Google ändert Android-Sicherheitspatch-Strategie
Google hat Änderungen an der Release-Strategie für die Android-Sicherheitspatches vorgenommen. Nur Lücken mit hohem Risiko sollen monatlich gepatcht werden, andere nur quartalsweise. Für Entwickler von Custom-ROMs ist diese Neuerung wenig erfreulich und stellt einen möglichen Stolperstein dar.
Abkehr von monatlichen Sicherheitspatches
Über die bevorstehende Änderung berichtet Mishaal Rahman von Android Authority, der seine Informationen aus Google-Quellen erhalten haben will. Seit 2015 veröffentlichte Google jeden Monat Sicherheitspatches für sein mobiles Betriebssystem, die Sicherheitslücken unterschiedlicher Risikostufen flicken, die Hardwarepartner für ihre Geräte anpassen und verteilen mussten. Nur wenige kann Google selbst über Google-Play-Dienste ausspielen – nämlich jene, die in den bisher modularisierten Android-Komponenten verortet sind. Google arbeitet seit Jahren unter dem Projekt Mainline daran, Android in einzelne Module zu stecken, die das Unternehmen dann unabhängig von den Herstellern aktualisieren kann.
Allmonatlich veröffentlichte Google neben den jeden ersten Montag eines Monats Sicherheitspatches auch die sogenannten Android Security Bulletins (ASB), die sämtliche behobene Sicherheitslücken umfassen. Hersteller selbst hatten diese Informationen bereits einen Monat im Voraus erhalten, damit sie nicht aus allen Wolken fielen und Patches sie für ihre Geräte anpassen konnten.
Von diesem Zyklus wich Google im Juli dieses Jahres ab: Der Konzern hatte sein ASB ohne eine einzige Sicherheitslücke veröffentlicht. Die für den September umfasste hingegen beträchtliche 119 Schwachstellen. Laut Rahman wird dies in Zukunft so fortgesetzt, sodass die Bulletins im Dreimonats-Zyklus – März, Juli, September und Dezember – größer ausfallen werden. Dieser Zyklus deckt sich zudem mit Googles eigenem Updatefenster für die sogenannten „Pixel Drops„, die neben Patches auch neue Funktionen an Bord haben. Mit dem jüngsten „Pixel Drop“ Anfang September hatte Google etwa das Material-3-Epressive-Design für seine Smartphones veröffentlicht.
„Risk Based Update System“
So sollen in den monatlichen Sicherheitspatches nur jene Sicherheitslücken mit hohem Risiko gepatcht werden – Google nennt diese neue Strategie „Risk-Based Update System“ (RBUS). Laut Android Authority definiert Google „risikoreiche“ Sicherheitslücken als Probleme, die unverzüglich behoben werden müssen, beispielsweise solche, die aktiv ausgenutzt werden oder Teil einer bekannten Exploit-Kette sind. Diese Einstufung basiere zudem auf dem tatsächlichen Bedrohungsgrad und unterscheide sich von der formalen Einstufung einer Sicherheitslücke als „kritisch“ oder „hoch“.
Für Hersteller, die ihre Geräte bisweilen eher nachlässig mit Patches versehen haben, bedeutet es weniger Arbeit, da sie jeden Monat weniger Patches zusammenführen, testen und ausliefern müssten. Das verringert die Schwierigkeit der monatlichen Auslieferung von Updates und könnte dazu führen, dass einige Hersteller sie häufiger für mehr Geräte verteilen. Mit dem neuen Ansatz scheint Google Herstellern es tendenziell einfacher zu machen, ihre Geräte zumindest mit den wichtigsten Patches zu versorgen. Einige Hersteller wie Samsung verteilen allmonatlich Sicherheitspatches, während es für andere Hersteller eine Überforderung darstellt und sie ihre Geräte bisweilen nur quartalsweise oder noch seltener mit Patches abzusichern.
Custom-ROM-Entwickler „not amused“
Auf der Nutzerseite bedeutet die Umstellung im Grunde kaum eine Umstellung. Für Entwickler von Custom-ROMs wird der neue Ansatz indes weniger erfreulich, da Google den Quellcode künftig nicht mehr für monatliche Sicherheitsupdates, sondern nur noch für die vierteljährlichen Updates veröffentlichen wird. Bei der aktuellen Version scheint Google sich auch mit der Veröffentlichung des Quellcodes im AOSP Zeit zu lassen. Damit können Custom-ROM-Entwickler keine monatlichen Sicherheitsupdates mehr liefern. Das wurde seitens Google ohnehin schon erschwert, da der Hersteller keine Device-Trees seiner Pixel-Geräte mehr veröffentlicht.
Überdies kritisiert der Custom-ROM-Entwickler Grapehene-OS das risikobasierte Update-System. Bisher gab Google den Herstellern eine Vorankündigung von einem Monat. Jetzt erhalten sie diese mehrere Monate im Voraus für die großen vierteljährlichen Updates. Dieses längere Zeitfenster betrachten die GrapheneOS-Entwickler als problematisch, da es auch böswilligen Akteuren mehr Zeit gebe, durchgesickerte Details zu Sicherheitslücken zu finden und Exploits zu entwickeln, bevor Patches allgemein verfügbar sind.
(afl)
Dieser Link ist leider nicht mehr gültig.
Links zu verschenkten Artikeln werden ungültig,
wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.
Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung!