12.08.2020, 06:00 Uhr | Lesezeit: 5 Minuten
Die Sicherheit auf Android-Smartphones ist oft ein Problem, da kritische Updates oft nur langsam kommen. Um auf dem aktuellen Stand zu bleiben, gibt es jetzt eine praktische Datenbank.
Android hat seine Vorteile: Es ist ein weit verbreitetes Betriebssystem mit steigender Nutzerzahl, das eine Vielzahl von Apps und vor Personalisierungsmöglichkeiten bietet. Ein großer Nachteil der weiten Verbreitung ist jedoch die Fragmentierung. Jeder Hersteller von Android-Smartphone fügt seinen eigenen Geschmack in Form einer angepassten Nutzeroberfläche, zusätzlichen Funktionen und Apps hinzu, die über das eigentliche Android-Betriebssystem hinausgehen. Wenn Google eine neuen Version von Android veröffentlicht, müssen die Hersteller deswegen erst Zeit damit verbringen, ihre Extras in das neue System einzubauen. Das kostet Zeit und Aufwand, weswegen die Hersteller vor allem bei günstigen Geräten oft nur ein paar Updates liefern und die Nutzer dann mit veralteter – und unsicherer – Software allein lassen.
Kaum ein Android-Nutzer weiß, wie sicher das eigene Smartphone ist
Google hat bereits wichtige Schritte unternommen, um der Lustlosigkeit der Hersteller, Updates zu liefern, entgegenzuwirken. Einer davon war es, den Sicherheitsstand des Android-Betriebssystem von Funktionsupdates abzuspalten. Davor kamen neue Sicherheitspatches und Bugfixes immer nur mir großen Versionsupdates – die Art also, die von den Herstellern wenn überhaupt nur langsam und zäh an die Nutzer weitergegeben wird. Nun ist das sogenannte „Patch-Level“ alleinstehend und wird monatlich von Google herausgegeben. Da die Sicherheitspatches keine Funktionsupdates enthalten, müssen die Hersteller nichts weiter anpassen – sie können die Patches praktisch einfach weitergeben.
Während einige Hersteller die neue Strategie relativ gut umsetzen und zeitnah das Patch-Level auf den aktuellen Monat anpassen, gibt es weiterhin diejenigen, die sich sträuben. Das Problem dabei: Kaum ein Android-Nutzer weiß über das derzeitige Patch-Level seines Smartphones bescheid. Nur wenige Hersteller geben überhaupt eine Übersicht heraus, welches Smartphones auf welchem Patch-Level ist.
Auch interessant: Samsung stoppt Sicherheitsupdates für ältere Galaxy-Smartphones
Datenbank verfolgt aktuelle Sicherheitsstandards
Deshalb haben die Johannes-Kepler-Universität in Linz und die University of Cambridge (UK) die „Android Device Security Database“ ins Leben gerufen. Die Datenbank führt Protokoll darüber, welches Smartphone welches Patch-Level hat. Geführt werden nur Geräte, die noch aktiv vom Hersteller unterstützt werden. Ältere, nicht mehr mit Updates und Sicherheitsfixes versorgte Geräte sind derzeit außen vor, könnten aber laut Informationen auf der Website in Zukunft folgen.
Die Datenbank umfasst bislang nur 20 Geräte, soll aber nach und nach ausgebaut werden. Eigenen Angaben zufolge arbeitet das Entwicklerteam daran, dass Daten aus unterschiedlichen Quellen automatisch gesammelt und in die Datenbank integriert werden. Das Projekt ist für andere akademische Partner offen, d.h. in Zukunft könnten noch mehr Kollaborateure an der Datenbank mitwirken. Die Datenbank umfasst neben aktuellen Android-Version und dem Patchlevel, das im Datumsformat Jahr-Monat-Tag (beispielsweise: 2020-06-05) geführt wird, auch zahlreiche andere Informationen. Ganz links sind OEM (Herstellername), Modellbezeichnung und Gerätename (Codename). Daneben sind das Erscheinungsdatum und der Chipsatz, der in den Smartphones verbaut ist, vermerkt.
Vier weitere, kryptische Abkürzungen befassen sich näher damit, wie sicher die Geräte mit ihren derzeitigen Patch-Leveln sind:
- SBA (Strongbox Support): Gibt an, ob das Smartphone einen speziellen Chip hat, in dem kryptographische Schlüssel vor Hackerzugriff geschützt sind. Die Parameter sind „True“ (wenn vorhanden) und „False“ (wenn nicht vorhanden).
- MUS (Multi-User Support): Gibt an, ob das Smartphone die Einrichtung mehrerer Nutzerkonten unterstützt, die unabhängig voneinander sind und so zur Sicherheit beitragen können. Die Parameter sind „True“ (wenn vorhanden) und „False“ (wenn nicht vorhanden).
- SUS (Seamless Updates): Gibt an, ob Updates immer Hintergrund geladen und beim Neustart automatisch installiert werden können. Falls vorhanden, kann Seamless Update dazu beitragen, dass Nutzer eher neue Sicherheitsupdates installieren. Die Parameter sind „True“ (wenn vorhanden) und „False“ (wenn nicht vorhanden).
- FBE: Gibt an, ob das Smartphone FBE (dateibasierte Verschlüsselung) oder FDE (vollständige Laufwerkverschlüsselung) einsetzt. FBE hat den Vorteil, dass es unterschiedliche Profile oder Nutzerkonten separat verschlüsseln und weiterhin auch FBE unterstützen kann. Die Parameter sind „File“ (wenn dateibasierte Verschlüsselung) und „Block“ (wenn nur Laufwerkverschlüsselung).
Neue Sicherheits-Initiative Google verrät jetzt, ob Ihr Android-Smartphone unsicher ist
Schnelle Updates und hohe Sicherheit Das müssen Sie über Android One wissen
Geräte unbrauchbar Neues Windows-Update blockiert gezielt Bluetooth-Verbindungen
Ihr Smartphone ist nicht dabei?
Die Datenbank befindet sich noch in der Entwicklung und es bleibt abzusehen, ob das Entwicklerteam seine Aufgabe dauerhaft vorantreiben kann. Sicherheitsbewusste Nutzer können sich trotzdem über das Patch-Level ihres Smartphones informieren. Auf der Seite des Android-Open-Source-Projects (AOSP, die offizielle Entwicklerseite für Android) gibt es Links zu den Sicherheits-Bulletin-Listen einzelner Hersteller. Hier sind Einträge für Google, Samsung, Huawei, LG, Motorola, Nokia und Oppo zu finden. Auf den jeweiligen Seiten können Sie nach Ihrem Gerät suchen und prüfen, ob es monatliche, vierteljährliche oder noch seltenere Sicherheitsupdates bekommt.