{"id":424799,"date":"2025-09-15T14:20:11","date_gmt":"2025-09-15T14:20:11","guid":{"rendered":"https:\/\/www.europesays.com\/de\/424799\/"},"modified":"2025-09-15T14:20:11","modified_gmt":"2025-09-15T14:20:11","slug":"schlecht-fuer-custom-roms-google-aendert-android-sicherheitspatch-strategie","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/424799\/","title":{"rendered":"Schlecht f\u00fcr Custom ROMs: Google \u00e4ndert Android-Sicherheitspatch-Strategie"},"content":{"rendered":"<ol class=\"a-toc__list\">\n<li class=\"a-toc__item&#10;          &#10;            a-toc__item--counter&#10;          &#10;            a-toc__item--current\">\n<p>              Schlecht f\u00fcr Custom ROMs: Google \u00e4ndert Android-Sicherheitspatch-Strategie<\/p>\n<\/li>\n<\/ol>\n<p>Google hat \u00c4nderungen an der Release-Strategie f\u00fcr die Android-Sicherheitspatches vorgenommen. Nur L\u00fccken mit hohem Risiko sollen monatlich gepatcht werden, andere nur quartalsweise. F\u00fcr Entwickler von Custom-ROMs ist diese Neuerung wenig erfreulich und stellt einen m\u00f6glichen Stolperstein dar.<\/p>\n<p>Abkehr von monatlichen Sicherheitspatches<\/p>\n<p>\u00dcber die bevorstehende \u00c4nderung berichtet <a href=\"https:\/\/www.androidauthority.com\/android-risk-based-security-updates-3597466\/\" rel=\"external noopener\" target=\"_blank\">Mishaal Rahman von Android Authority<\/a>, der seine Informationen aus Google-Quellen erhalten haben will. Seit 2015 ver\u00f6ffentlichte Google jeden Monat Sicherheitspatches f\u00fcr sein mobiles Betriebssystem, die Sicherheitsl\u00fccken unterschiedlicher Risikostufen flicken, die Hardwarepartner f\u00fcr ihre Ger\u00e4te anpassen und verteilen mussten. Nur wenige kann Google selbst \u00fcber Google-Play-Dienste ausspielen \u2013 n\u00e4mlich jene, die in den bisher modularisierten Android-Komponenten verortet sind. Google arbeitet seit Jahren unter dem <a href=\"https:\/\/www.heise.de\/news\/Google-erklaert-verbesserte-Android-Updates-4840839.html\" target=\"_blank\" rel=\"noopener\">Projekt Mainline<\/a> daran, Android in einzelne Module zu stecken, die das Unternehmen dann unabh\u00e4ngig von den Herstellern aktualisieren kann.<\/p>\n<p>Allmonatlich ver\u00f6ffentlichte Google neben den jeden ersten Montag eines Monats Sicherheitspatches auch die sogenannten <a href=\"https:\/\/www.heise.de\/thema\/Android\" rel=\"external noopener\" target=\"_blank\">Android<\/a> Security Bulletins (ASB), die s\u00e4mtliche behobene Sicherheitsl\u00fccken umfassen. Hersteller selbst hatten diese Informationen bereits einen Monat im Voraus erhalten, damit sie nicht aus allen Wolken fielen und Patches sie f\u00fcr ihre Ger\u00e4te anpassen konnten.<\/p>\n<p>Von diesem Zyklus wich <a href=\"https:\/\/www.heise.de\/news\/Android-Patchday-faellt-im-Juli-aus-10478020.html\" target=\"_blank\" rel=\"noopener\">Google im Juli dieses Jahres ab<\/a>: Der Konzern hatte sein ASB ohne eine einzige Sicherheitsl\u00fccke ver\u00f6ffentlicht. Die f\u00fcr den September umfasste hingegen betr\u00e4chtliche 119 Schwachstellen. Laut Rahman wird dies in Zukunft so fortgesetzt, sodass die Bulletins im Dreimonats-Zyklus \u2013 M\u00e4rz, Juli, September und Dezember \u2013 gr\u00f6\u00dfer ausfallen werden. Dieser Zyklus deckt sich zudem mit Googles eigenem Updatefenster f\u00fcr die sogenannten &#8222;<a href=\"https:\/\/www.heise.de\/news\/Android-16-Google-verteilt-Pixel-Update-mit-Material-3-Expressive-10630402.html\" target=\"_blank\" rel=\"noopener\">Pixel Drops<\/a>&#8222;, die neben Patches auch neue Funktionen an Bord haben. Mit dem j\u00fcngsten &#8222;Pixel Drop&#8220; Anfang September hatte Google etwa das <a href=\"https:\/\/www.heise.de\/news\/Material-3-Expressive-Googles-neues-Design-fuer-Pixel-angeschaut-10640073.html\" target=\"_blank\" rel=\"noopener\">Material-3-Epressive-Design<\/a> f\u00fcr seine Smartphones ver\u00f6ffentlicht.<\/p>\n<p>&#8222;Risk Based Update System&#8220;<\/p>\n<p>So sollen in den monatlichen Sicherheitspatches nur jene Sicherheitsl\u00fccken mit hohem Risiko gepatcht werden \u2013 Google nennt diese neue Strategie &#8222;Risk-Based Update System&#8220; (RBUS). Laut Android Authority definiert Google &#8222;risikoreiche&#8220; Sicherheitsl\u00fccken als Probleme, die unverz\u00fcglich behoben werden m\u00fcssen, beispielsweise solche, die aktiv ausgenutzt werden oder Teil einer bekannten Exploit-Kette sind. Diese Einstufung basiere zudem auf dem tats\u00e4chlichen Bedrohungsgrad und unterscheide sich von der formalen Einstufung einer Sicherheitsl\u00fccke als &#8222;kritisch&#8220; oder &#8222;hoch&#8220;.<\/p>\n<p>F\u00fcr Hersteller, die ihre Ger\u00e4te bisweilen eher nachl\u00e4ssig mit Patches versehen haben, bedeutet es weniger Arbeit, da sie jeden Monat weniger Patches zusammenf\u00fchren, testen und ausliefern m\u00fcssten. Das verringert die Schwierigkeit der monatlichen Auslieferung von Updates und k\u00f6nnte dazu f\u00fchren, dass einige Hersteller sie h\u00e4ufiger f\u00fcr mehr Ger\u00e4te verteilen. Mit dem neuen Ansatz scheint Google Herstellern es tendenziell einfacher zu machen, ihre Ger\u00e4te zumindest mit den wichtigsten Patches zu versorgen. Einige Hersteller wie Samsung verteilen allmonatlich Sicherheitspatches, w\u00e4hrend es f\u00fcr andere Hersteller eine \u00dcberforderung darstellt und sie ihre Ger\u00e4te bisweilen nur quartalsweise oder noch seltener mit Patches abzusichern.<\/p>\n<p>Custom-ROM-Entwickler &#8222;not amused&#8220;<\/p>\n<p>Auf der Nutzerseite bedeutet die Umstellung im Grunde kaum eine Umstellung. F\u00fcr Entwickler von Custom-ROMs wird der neue Ansatz indes weniger erfreulich, da Google den Quellcode k\u00fcnftig nicht mehr f\u00fcr monatliche Sicherheitsupdates, sondern nur noch f\u00fcr die viertelj\u00e4hrlichen Updates ver\u00f6ffentlichen wird. Bei der aktuellen Version scheint Google sich auch mit der <a href=\"https:\/\/www.androidauthority.com\/android-16-qpr1-source-code-delay-3596650\/\" rel=\"external noopener\" target=\"_blank\">Ver\u00f6ffentlichung des Quellcodes im AOSP Zeit zu lassen.<\/a> Damit k\u00f6nnen Custom-ROM-Entwickler keine monatlichen Sicherheitsupdates mehr liefern. Das wurde seitens Google ohnehin schon erschwert, da der Hersteller keine Device-Trees seiner Pixel-Ger\u00e4te mehr ver\u00f6ffentlicht.<\/p>\n<p>\u00dcberdies kritisiert der Custom-ROM-Entwickler Grapehene-OS das risikobasierte Update-System. Bisher gab Google den Herstellern eine Vorank\u00fcndigung von einem Monat. Jetzt erhalten sie diese mehrere Monate im Voraus f\u00fcr die gro\u00dfen viertelj\u00e4hrlichen Updates. Dieses l\u00e4ngere Zeitfenster betrachten die GrapheneOS-Entwickler als problematisch, da es auch b\u00f6swilligen Akteuren mehr Zeit gebe, durchgesickerte Details zu Sicherheitsl\u00fccken zu finden und Exploits zu entwickeln, bevor Patches allgemein verf\u00fcgbar sind.<\/p>\n<p>(<a class=\"redakteurskuerzel__link\" href=\"https:\/\/www.heise.de\/news\/mailto:afl@heise.de\" title=\"Andreas Floemer\" target=\"_blank\" rel=\"noopener\">afl<\/a>)<\/p>\n<p>\n      Dieser Link ist leider nicht mehr g\u00fcltig.\n    <\/p>\n<p>Links zu verschenkten Artikeln werden ung\u00fcltig,<br \/>\n      wenn diese \u00e4lter als 7\u00a0Tage sind oder zu oft aufgerufen wurden.\n    <\/p>\n<p><strong>Sie ben\u00f6tigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen \u2013 ohne Verpflichtung!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"Schlecht f\u00fcr Custom ROMs: Google \u00e4ndert Android-Sicherheitspatch-Strategie Google hat \u00c4nderungen an der Release-Strategie f\u00fcr die Android-Sicherheitspatches vorgenommen. Nur&hellip;\n","protected":false},"author":2,"featured_media":424800,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[5356,17585,62753,111358,62754,29,30,1273,190,189,194,191,193,192],"class_list":{"0":"post-424799","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-android","9":"tag-android-16","10":"tag-android-entwicklung","11":"tag-aosp","12":"tag-custom-rom","13":"tag-deutschland","14":"tag-germany","15":"tag-mobiles","16":"tag-science","17":"tag-science-technology","18":"tag-technik","19":"tag-technology","20":"tag-wissenschaft","21":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/115208757222461704","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/424799","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=424799"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/424799\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/424800"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=424799"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=424799"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=424799"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}