Google verschweigt Sicherheitslücken

Seit dem Schreiben dieses Posts sind einige Jahre vergangen, unter dem Post gibt es ein Update.

Wie Google sich selbst positioniert(e)

Diese beiden Auszüge beschreiben Googles eigenen Anspruch:

"We would like to introduce ourselves, the Android Security Team, to the security research and vulnerability disclosure communities. [...] Our vulnerability bulletins will credit responsible reporters of any flaws." 1

"How can I stay informed of Android security announcements? We will publicly announce security bugs when the fixes are available via postings to the android-security-announce group on Google Groups." 2

OK, gefixte Bugs werden also in der Google Group "android-security-announce" veröffentlicht. Mal sehen...

Die Realität

Wir alle wissen, das Android (wie jede nicht-triviale Software) Bugs hatte, die gefixt wurden. Gemäß ihrer eigenen Aussage müsste Google diese Bugs also in der entsprechenden Google Group veröffentlicht haben. Ich komme nun zu Beweisstück 3:
http://groups.google.com/group/android-security-announce
Ihr braucht nicht 'reinklicken, da steht (außer dem Willkommens-Post) nix drin. Nichts, nada. Obwohl es Bugs gab, die auch gefixt wurden. Warum folgt Google nicht seinem eigenen Anspruch und veröffentlicht diese Infos? Ich habe einfach mal Google diesbezüglich angeschrieben, aber natürlich antworten die nicht auf meine Anfrage zum Thema. Die c't Redaktion erhielt auf Ihre Anfrage ebenfalls keine Antwort. Postings in der Security-Group nützen auch nichts, siehe mein Posting vom 09.09.2010. Es interessiert Google einfach nicht.

Conclusio

Das Google so handelt ist aller-unterste Schublade und sollte vom Kunden eigentlich entsprechend bestraft werden, aber nur sehr Wenige verstehen überhaupt was das bedeutet: Ihr habt Sicherheitslücken auf Euren Smartphones, über die z.B. Malware gewaltige Summen an Geld abziehen könnte. Eine Malware sendet eine SMS und schwupps hast Du ein Abo an der Backe. Beweist mal, das es eine Malware auf dem Handy war, und nicht Ihr höstpersönlich, die dieses Abo bestellt haben. Oder aber die Malware bestellt munter teure Musikdienste im Internet. Beweis' mal, das Du es nicht warst - unmöglich.

Abhilfe schaffen könnten nur zeitnahe OTA-Updates für alle. Zeitnahe Updates bekommen nur die Nexus-User, und selbst dann ist nicht sicher gestellt das alle Bugs gefixt wurden, da Google dies ja verschweigt. Aber Updates für alle sind aufgrund der Hardware-Fragmentierung momentan eh nicht möglich. Google könnte das implementieren.

Aber wenn sie genau so auf dieses stetig größer werdende Problem reagieren wie auf Anfragen der größten europäischen Computer-Fachzeitschrift dann...

Update 2014

Mittlerweile hat Google seine developer-FAQ neu formuliert und Hinweise auf die Google Group "android-security-announce" entfernt. Bis heute gibt es kein einziges (!) Android-Security-Bulletin von Google.

Um trotz der Fragmentierung möglichst viele Geräte möglichst aktuell halten zu können wurden, beginnend mit Android 4.1, Teile aus dem Betriebssystem herausgelöst und als Apps über den Play Store verteilt. So können diese Teile dann unabhängig von den Herstellern und Carriern aktualisiert werden. Beispiele dafür sind unter anderem die Google-Tastatur, der Google Now Launcher, der Kalender und nicht zuletzt der Play Store selbst.


Geschrieben von Jan Niggemann in Android am 07.09.2011 , geändert am 21.03.2014