Die Sicherheit von Android hat sich in den letzten 10 Jahren sprunghaft verbessert: So geht's

Heutzutage ist Android eines der am häufigsten verwendeten und sichersten Betriebssysteme der Welt, aber das war nicht immer so. Tatsächlich, im Jahr 2014, ZDNet Android wurde bekanntlich als „giftiger Teufelskreis“ von Schwachstellen bezeichnet und von Tim Cook bei der diesjährigen iPhone-Vorstellung zitiert. Cook machte deutlich, dass Android so fragmentiert sei und Updates so langsam eintrafen, dass dies auf keinen Fall möglich sei Arme Menschen, die „aus Versehen ein Android-Telefon gekauft haben“, könnten nahezu die Sicherheit ihres iPhones genießen besser.

Das ist jedoch nicht die ganze Geschichte, und es ist heutzutage sicherlich nicht mehr zutreffend.

Bescheidenen Anfängen

Wenn ich an das allererste iPhone zurückdenke, war es über 2G verbunden, hatte etwa 14 Apps und machte Fotos mit viel Rauschen und Körnung. Der Vorteil für Apple bestand jedoch darin, dass das Unternehmen die Hardware und Software selbst herstellte, einschließlich aller 14 dieser Apps, die vor dem App Store alles waren, was man nutzen konnte. Apple kontrollierte das gesamte Erlebnis, was auch bedeutete, dass sie Updates veröffentlichen konnten, wann immer sie wollten.

Im Gegensatz dazu waren die Anfänge von Android etwas anders, mit viel mehr Köchen in der sprichwörtlichen Küche. Zuerst würde Google eine neue Version von Android veröffentlichen, die dann von Chipherstellern angepasst wurde, um auf der von Ihrem Telefon verwendeten CPU zu funktionieren. Dann musste der Hersteller mit Android seinen Willen durchsetzen, neue Funktionen oder Apps hinzufügen und normalerweise eine Menge Dinge am Aussehen ändern – oft zum Schlechten. Dann musste es zu Ihrem Mobilfunkanbieter gehen, wenn es sich um ein Telefon mit Netzwerkmarke handelte, und dieser musste sicherstellen, dass es in seinem Netzwerk funktionierte, und gleichzeitig nacharbeiten mehr Bloatware nur zum Spaß.

Dann, wenn Sie Glück hatten, sind Sie vielleicht sechs Monate nach der Veröffentlichung einer neuen Android-Version Stammgast Person, würde es tatsächlich auf Ihr Telefon bekommen – zusammen mit ein paar Extras, die Sie vielleicht haben oder auch nicht gesucht. Für 99 % des Android-Ökosystems funktionierten Updates auf diese Weise, und das war ein großes Problem. Ein bisschen so, als ob man in einem Restaurant einen schicken Hamburger bestellt und dann warten muss, während der Franchise-Inhaber und der Kellner eine Menge seltsamer, ekelhafter Beläge hinzufügen, nach denen man nicht gefragt hat.

Die einzigen Leute, bei denen es nicht ewig dauerte, bis ihre Android-Smartphones Updates erhielten, die oft auch zusätzliche Software enthielten, waren Google Nexus-Besitzer. Auf diesen Telefonen lief Vanilla Android und sie erhielten Updates direkt von Google, ohne dass darüber hinaus etwas hinzugefügt wurde. Das Problem bestand darin, dass sie nur einen winzigen Ausschnitt aus dem immer größer werdenden Android-Kuchen darstellten.

Fragmentierung führt zu Sicherheitsproblemen

Diese ganze Situation war aus mehreren Gründen ziemlich schlimm, und ein wichtiger Grund war die Sicherheit. Offensichtlich ist es nicht gut, wenn Google oder Qualcomm eine Sicherheitslücke weiter oben in der Nahrungskette beheben müssen und Sie dann weitere Monate warten müssen, bis sie tatsächlich auf den meisten Geräten verfügbar ist.

Dies wurde durch die damalige Natur von Android und die Einstellung der Telefonhersteller noch verschlimmert in Richtung Aktualisierung. Software-Updates für vorhandene Telefone wurden oft als lästige Pflicht angesehen – fast so, als hätte man es vermasselt, wenn man es getan hätte Ich musste eines erstellen, denn alles, was Sie reparieren oder hinzufügen, hätte einfach im Original-ROM sein sollen. Infolgedessen war die Update-Erfolgsbilanz von so ziemlich jedem in der Android-Welt damals nach heutigen Maßstäben im Grunde Müllcontainer-Tier. Mit etwas Glück würden Flaggschiffe Monate später ein großes Betriebssystem-Update erhalten. Noch schlimmer ist, dass Sicherheitspatches noch keine Rolle spielten.

Als ob es nicht noch schlimmer kommen könnte, waren zu diesem Zeitpunkt noch so ziemlich alle wichtigen Kern-Android-Apps in der Firmware integriert. Webbrowser-Updates müssten beispielsweise in einen OTA gepackt werden und auf die Zertifizierung durch den Hersteller und Netzbetreiber warten. Wenn also eine Schwachstelle im Browser-Engine-Code beispielsweise von Google auftauchte, gab es keine Möglichkeit, die Behebung schnell und umfassend zu verbreiten. Das bedeutete, dass unterschiedliche Personen auf unterschiedlichen Versionen mit unterschiedlichen Anpassungen und unterschiedlichem Grad an Anfälligkeit für Malware und andere Übel stecken blieben. Daher: Android-Fragmentierung.

Es ist erwähnenswert, dass iOS keineswegs frei von Sicherheitsproblemen war, insbesondere während der ersten paar Generationen des iPhone. Das Fehlen eines offiziellen App-Stores war ein großer Anreiz für Script-Kiddies und White-Hat-Hacker, das iPhone zu knacken und es zu neuen und aufregenden Dingen zu bewegen. Zumindest eine der wichtigsten Möglichkeiten, iPhones zu jailbreaken, bestand damals darin, einen Fehler im Browser auszunutzen. Grundsätzlich könnte eine Webseite die Sicherheit des ursprünglichen iPhone beeinträchtigen.

Der Unterschied bestand darin, dass Apple diese Sicherheitslücken viel schneller schließen konnte, wenn sie auftraten, und zwar über einen Zeitraum hinweg viel größerer Teil der Benutzerbasis. Nicht so auf der Android-Seite.

Google war schlecht, aber Android ist jetzt viel besser

All das war der „giftige Hölleneintopf“, den Google angeblich in den Tagen der Android-Versionen 4 und 5 anrichtete. Rückblickend lässt sich leicht sagen, dass Google mehr hätte tun sollen, um die Kontrolle über Android zu behalten … Oder Sie richten von Anfang an Systeme ein, die dafür sorgen, dass die Aktualisierungen reibungsloser und häufiger erfolgen.

Es sei jedoch daran erinnert, dass die Welt damals, als Android 2007 zum ersten Mal in der Entwicklung war, noch eine andere war. Bei den existierenden Smartphones handelte es sich hauptsächlich um primitive Geräte zum E-Mail-Versand für Geschäftsleute. Mobiles Bezahlen war noch lange nicht Realität. Uber würde erst in zwei Jahren gegründet werden. Den bescheidenen Retweet gab es gar nicht.

Der Punkt ist, dass damals nicht klar war, wie im folgenden Jahrzehnt so viele wesentliche Alltagsaufgaben erledigt werden sollten an Ihr Telefon gebunden wäre, und auch nicht, wie es zu einer solchen Schatzkammer wertvoller, hackbarer persönlicher Daten werden würde Daten. Man muss Google anerkennen, dass sich in den letzten Jahren sehr viel verändert hat, um Android deutlich sicherer zu machen und Sicherheitsupdates schneller für mehr Menschen verfügbar zu machen. Dafür gibt es eine Reihe von Gründen.

Beispielsweise haben Sie möglicherweise gesehen, dass die Google Play-Dienste auf Ihrem Telefon aktualisiert wurden und denen Sie möglicherweise nicht viel Aufmerksamkeit geschenkt haben. Tatsächlich ist es jedoch ein äußerst wichtiger Teil davon, wie Google die Sicherheit von Android gewährleistet und dabei hilft, neue Funktionen von Android 13 auf das alte Galaxy S7 Ihrer Oma zu übertragen, das seit Jahren keine neue Firmware mehr erhalten hat.

Im Fall von Play Services handelt es sich um eine System-App, die privilegierten Zugriff der obersten Stufe A+ Platinum auf alles auf Ihrem Telefon bietet. Es kann weit mehr tun als eine normale App, die Sie aus dem Play Store herunterladen würden, z. B. andere Apps installieren oder löschen oder sogar Ihr Gerät aus der Ferne löschen, wenn es verloren geht oder gestohlen wird.

System-Apps wie Play Services müssen vom Hersteller auf Ihr Telefon geladen werden, aber sobald sie dort sind, können sie automatisch im Hintergrund aktualisiert werden. Das bedeutet, dass neue Versionen sicher neue Features und Funktionen hinzufügen können. Und Play Services hat Tentakel im gesamten Betriebssystem, weshalb beispielsweise die sichere Fotoauswahlfunktion von Android 13 zum Einsatz kommt könnte auf Telefonen mit viel älteren Versionen des Betriebssystems eingeführt werden, ohne dass eine neue Firmware installiert werden muss.

Zu den Play Services gehört auch Google Play Protect, die Antimalware-Funktion auf Betriebssystemebene von Android, die schädliche Apps stoppen kann, bevor sie installiert werden, oder sie entfernen kann, wenn sie bereits vorhanden sind. Das andere wichtige Merkmal von Play Services ist, dass es absolut alte Android-Versionen unterstützt. Normalerweise stellt Google die Unterstützung für Play Services nur für Android-Versionen ein, die etwa zehn Jahre alt sind. Im Moment ist es Sommer 2023 und die aktuelle Version der Play Services wird bis zum Android 4.4 KitKat von 2013 unterstützt. Diese scheinbar zufällige Kleinigkeit ist wichtig, denn sie hilft Ihnen, auch auf viel älteren Android-Versionen einigermaßen sicher zu bleiben. Das allein ist ein großer Teil der Android-Sicherheitsstrategie.

Interessanterweise spielten Play Services eine interessante Rolle bei der Reaktion auf COVID-19 in vielen Ländern auf der ganzen Welt. Ein über Play Services verteiltes Update ermöglichte es Google, das mit Apple entwickelte Exposure Notification System auf einen Schlag praktisch der gesamten Android-Nutzerbasis zugänglich zu machen. Ohne Play Services hätte ein solches Unterfangen Monate gedauert und nicht annähernd so viele Menschen erreicht.

Tatsächlich ist es ziemlich verrückt zu glauben, dass Googles Bemühungen, die Android-Fragmentierung fast ein Jahrzehnt früher zu beheben, wahrscheinlich sind indirekt hat während der Pandemie letztendlich einige Leben gerettet.

Lampenfieber

Malware-Apps sind eine Sache, aber es gibt auch andere Möglichkeiten, mit denen Kriminelle versuchen können, die Kontrolle über Ihr Telefon zu erlangen oder Ihre Daten zu stehlen. Browser-Exploits waren ein ziemlich großer Teil davon, und jetzt werden sowohl der Chrome-Browser als auch der WebView-Code für Webinhalte in anderen Apps über den Play Store aktualisiert. Tatsächlich gilt dies für eine ganze Reihe verschiedener Teile von Android, für die früher ein Firmware-Update erforderlich war. Andere umfassen den Google Phone Dialer, Android Messages und unzählige Apps, die hinter den Kulissen laufen.

Angenommen, heute im Jahr 2023 wird ein schlimmer Browser-Exploit entdeckt, bei dem eine bösartige Webseite Ihr Telefon zum Absturz bringen, Ihre Passwörter stehlen oder dazu führen könnte, dass die Starbucks-App Ihre Bestellung durcheinander bringt. Unabhängig davon, welche Android-Version Sie verwenden, könnte Google Updates über den Play Store veröffentlichen, die sowohl Chrome selbst als auch jede andere App, die Webinhalte anzeigt, abdecken. Damals, in den Tagen des sogenannten toxischen Höllenfeuers, war für die Bereitstellung desselben Fixes ein vollständiges Firmware-Update erforderlich auf jedes Android-Handy: viel mehr Arbeit für viel mehr Leute, und es hätte stattdessen Monate oder sogar Jahre gedauert Tage.

Eine andere Art von Exploit war 2015 eine große Neuigkeit in der Android-Sicherheitswelt. Der „Stagefright“-Bug betraf den Teil von Android, der für das Rendern von Bildern und Videos zuständig ist: Ein Foto, das auf die richtige Art und Weise manipuliert wurde, konnte schädliche Auswirkungen auf Ihr Telefon haben. Dies war ein großes Problem, da diese Stagefright-Komponente damals nicht ohne ein vollständiges Firmware-Update aktualisiert werden konnte. Nochmals: jede Menge zusätzlicher Arbeit, Zertifizierung und Warten, während das digitale Äquivalent eines verwunschenen Gemäldes Ihr Telefon möglicherweise jederzeit weit aufbrechen könnte.

Die gruselige Stagefright-Sicherheitsangst hatte zwei Folgen: Erstens begann Google mit der Veröffentlichung monatlicher Sicherheitspatches für Android, die Ihr Sicherheitsniveau an ein bestimmtes Datum knüpften. Darüber hinaus nahm Google die Modularisierung von Android viel ernster, sodass Teile des Betriebssystems wie Stagefright über den Play Store aktualisiert werden konnten, ohne dass ein vollständiges Firmware-Update erforderlich war.

Bis heute werden jeden Monat neue Android-Sicherheitspatches veröffentlicht. Und sie decken auch ältere Versionen des Betriebssystems ab, nicht nur die neuesten, sodass ein Telefon auch dann geschützt werden kann, wenn es noch mit Android 11 oder 12 läuft. Allgemein, Google Pixel und Samsung-Flaggschiffe erhalten zuerst Sicherheitspatches, während andere wie Motorola schweißtreibend hinter dem Rest des Ökosystems herhinken und das vertragliche Minimum von einem Patch pro Quartal veröffentlichen.

Das ist die andere Seite dieser Gleichung: Google verlangt nun von Telefonherstellern gesetzlich, dass sie sich zu einem Mindestmaß an Support verpflichten, wenn sie Android mit Google-Diensten auf ihren Geräten haben möchten. Im Jahr 2018 Der Rand gemeldet dass Google zwei Jahre lang Sicherheitspatches vorschreibt, die mindestens alle 90 Tage veröffentlicht werden

Heutzutage versprechen beliebte Marken wie Samsung und OnePlus vier Jahre Betriebssystem-Updates und fünf Jahre Sicherheitspatches, möglicherweise mit etwas Zuspruch von Google hinter den Kulissen.

Obwohl Updates heutzutage viel häufiger veröffentlicht werden, erfordern sie immer noch viel technische Arbeit, insbesondere wenn es sich um ein großes Update handelt, beispielsweise um eine ganz neue Betriebssystemversion. Android sieht nicht aus wie Samsungs One UI oder Oppos ColorOS, wenn es Googles Schokoladenfabrik Mountain View verlässt, oder? Und in der Anfangszeit mussten Sie als Samsung oder Oppo diese völlig neue Version von Android in Ihren angepassten Zweig der vorherigen Version integrieren. Es ist ein bisschen so, als würde man versuchen, einige Zutaten auszutauschen, wenn eine Mahlzeit bereits gekocht ist – am Ende muss man fast von vorne beginnen.

Googles Lösung? Im Grunde ein TV-Essteller: Sie servieren die Mahlzeit in zwei verschiedenen Abschnitten. Sie trennen die Anpassungen des Herstellers – den gesamten One UI- oder ColorOS-Sachen – vom Kernbetriebssystem. Und das bedeutet, dass Sie das eine einfacher aktualisieren können, ohne sich mit dem anderen herumschlagen zu müssen. Dieses ganze Unterfangen heißt Project Treble, und obwohl Sie es auf Ihrem Telefon nicht sehen können, haben Sie es vielleicht bemerkt Wie das Android-Gerät, das Sie heute besitzen, Updates wesentlich schneller erhält als eines, das Sie sieben oder acht Jahre lang verwendet haben vor.

Darüber hinaus hat Google bereits viel früher damit begonnen, zukünftige Android-Versionen mit OEMs zu teilen. Bis also die ersten Entwicklervorschauen von Android 14 öffentlich waren, hatten Leute wie Samsung wahrscheinlich schon seit ein paar Monaten oder so einen Blick hinter die Kulissen geworfen. Sicherheitspatches werden einen Monat früher privat geteilt, um den Herstellern einen Vorsprung zu verschaffen.

Auch wenn das alles schön und gut ist, behalten die Leute ihre Telefone oft länger als nur ein paar Jahre. Die Veröffentlichung neuer Firmware ist immer noch ein nicht unerheblicher Arbeitsaufwand, und diese Ingenieure arbeiten nicht umsonst. Projekt Mainline im Jahr 2019 machte Android selbst modularer, mit Softwaremodulen für Dinge wie WLAN, Bluetooth, Medienverwaltung und vieles mehr. Diese Module können dann direkt von Google oder dem Hersteller separat aktualisiert werden, ohne dass der gesamte Firmware-Update-Prozess durchlaufen werden muss.

Wenn Sie jemals ein Google Play-Systemupdate auf Ihrem Telefon gesehen haben, dann ist es das. Stellen Sie sich das so vor: Wenn bei Ihnen zu Hause eine Glühbirne durchbrennt, können Sie jetzt einfach die Glühbirne austauschen... Früher gingen Sie nach draußen, brannten Ihr Haus nieder und bauten darüber ein neues.

Der Sicherheitsschutz ist jetzt viel besser

Selbst im Jahr 2023 kommt es immer noch zu Android-Sicherheitsangst. Aber der Unterschied heute zu den giftigen Höllenzeiten besteht darin, dass es viele Werkzeuge gibt, um sie zu neutralisieren. Nehmen wir zum Beispiel die Stagefright-Schwachstelle aus dem Jahr 2015. Der von diesem Fehler betroffene Teil von Android ist heute ein Project Mainline-Modul und lässt sich problemlos und ohne ein vollständiges Firmware-Update wieder auf Android 10 aktualisieren.

Ein weiteres Beispiel: Im Jahr 2014 konnte der „Fake ID“-Fehler es einer bösartigen App ermöglichen, sich als eine Person mit besonderen Berechtigungen auszugeben und so Ihre Daten möglicherweise einem Angreifer preiszugeben. Wenn so etwas heute passieren würde, würde Play Protect es sofort stoppen und der zugrunde liegende Fehler könnte in einem Mainline-Update des Android-Laufzeitmoduls schnell behoben werden. Darüber hinaus hat Google auch eine Menge unter der Haube im Bereich Verschlüsselung und Speicherverwaltung getan, um es schwieriger zu machen, mit künftigen Android-Schwachstellen sinnvoll umzugehen, falls sie auftauchen.

Keine Software ist jemals vollkommen sicher. 0-Day-Exploits – also geheime, ungepatchte Schwachstellen – gibt es für alle Betriebssysteme und werden von Nationalstaaten genutzt und für riesige Summen auf dem Schwarzmarkt verkauft. Es gibt viele aktuelle Beispiele für hochkarätige Personen, die von erschreckend raffinierter Malware auf Null-Tage-Basis angegriffen werden: Personen wie Jeff Bezos, Emmanuel Macron und Liz Truss. Im Jahr 2022 musste der ehemalige britische Premierminister Berichten zufolge ständig seine Telefonnummern ändern, nachdem er angeblich von russischen Agenten gehackt wurde. Schließlich galt ihr Gerät als so vollständig kompromittiert, dass es praktisch im Smartphone-Äquivalent des Tschernobyl-Sarkophags eingesperrt wurde.

Wenn Sie sich fragen, warum sie ihre Telefonnummer geändert hat, ist es möglich, dass ihr Telefon von so etwas ins Visier genommen wurde Pegasus, die in Israel hergestellte Spyware, die Berichten zufolge Android- oder iOS-Geräte übernehmen kann, indem sie einfach ihr Telefon dabei hat Nummer. Berichten zufolge verwendet Russland keine im Ausland hergestellte Spyware, es ist jedoch wahrscheinlich, dass es ein eigenes Äquivalent gibt, das auf ähnlichen 0-Day-Exploits basiert.

All dies zeigt, dass 100 % Sicherheit eine Illusion ist – sie ist unerreichbar, egal welches Gerät oder Betriebssystem Sie verwenden. Nichtsdestotrotz ist Android längst kein „giftiger Teufelskreis von Schwachstellen“ mehr, wie man es vor einem Jahrzehnt hätte behaupten können. Es ist viel besser in der Lage, die Bedrohungen der Gartenvielfalt zu bekämpfen, mit denen diejenigen von uns konfrontiert sein könnten, die keine Regierungschefs oder der CEO eines Billionen-Dollar-Unternehmens sind.

Darüber hinaus ist die Wahrscheinlichkeit, dass der Durchschnittsmensch Opfer von Social Engineering oder anderen Betrugsversuchen wird, weitaus höher als die Wahrscheinlichkeit, dass er von mobiler Malware befallen wird. Diese Art von Betrug nimmt in vielen Ländern und im Vereinigten Königreich zu. sie ist zwischen 2020 und 2022 um 25 % gestiegen, wobei es sich in den meisten Fällen um Computermissbrauch handelt. Da sich die Smartphone-Sicherheit verbessert hat, könnte man sagen, dass viele Bösewichte erkennen, dass es tatsächlich einfacher ist, die weiche, fleischige Komponente am Bildschirm auszunutzen: Sie.