Fast eine Milliarde Android-Nutzer erhalten keinen Patch von Google

Der Suchmaschinenkonzern Google scheint sich hinsichtlich der IT-Sicherheit zunehmend wie die Axt im Walde zu benehmen. Gerade erst stellte das Unternehmen den Konkurrenten Microsoft mit der Veröffentlichung von Informationen über eine Sicherheitslücke bloß. Und nun lässt man fast eine Milliarde Nutzer der eigenen Android-Plattform im Regen stehen. Die Microsoft-Sache ging darauf zurück, dass Google eine Sicherheitsproblem in Windows 8.1 identifiziert hatte. Der Konkurrent wurde über diese informiert und begann auch an einem Patch zu arbeiten. Dabei stellte sich heraus, dass es nicht trivial ist, das Problem zu beheben. Die Bitte an Google, die übliche Frist von 90 Tagen bis zur Veröffentlichung von Informationen über den Bug um zwei Tage zu verlängern, wurde allerdings nicht erhört. Stur veröffentlichte der Suchmaschinenkonzern die Details und Microsoft konnte erst zwei Tage später den Patch liefern - was einen bitteren Beigeschmack hatte und wirkte, als lasse man die Redmonder bewusst gegen die Wand laufen.


Microsofts Security-Chef Chris Betz kritisierte daraufhin, dass Google die Interessen der betroffenen Nutzer schlicht egal waren. Dies scheint sich aber nicht nur darauf zu beschränken, wenn es um Sicherheits-Probleme bei der Konkurrenz geht. Auch die eigenen Kunden setzt das Unternehmen mit seiner Politik in Sachen Security Risiken aus. Mit der gleichen Sturheit wird die Behebung einer Sicherheitslücke in Android abgelehnt.

Von dem kürzlich entdeckten Problem ist die WebView-Komponente in Android bis 4.3 "Jelly Bean" betroffen. Wer über ein Gerät mit diesem Betriebssystem verfügt, wird von Google nicht mit einem Patch beliefert werden. Denn nach aktuellem Stand entwickelt das Unternehmen nur noch Sicherheits-Updates für Android-Versionen ab 4.4. Jelly Bean wurde ursprünglich Mitte 2012 veröffentlicht - damals noch mit der Versionsnummer 4.1. Die Fassung 4.3 folgte gut ein Jahr später.

Dies bedeutet, dass Google den Support von Betriebssystem-Versionen verweigert, die gerade einmal zwei bis drei Jahre alt sind. Problematisch ist dies vor allem auch deswegen, weil es im Android-Ökosystem keine Strukturen gibt, mit denen die Nutzer möglichst komplett auf die neuesten Varianten geholt werden - wie es beispielsweise bei Apples iOS oder Microsofts Windows Phone der Fall ist. Immerhin rund 60 Prozent der Android-Nutzer sind daher immer noch mit Betriebssystem-Versionen ausgestattet, die von der Sicherheitslücke betroffen sind. Geschätzt 930 Millionen Geräte weltweit werden also von Google undicht gelassen. Infografik: Android-Fragmentierung Anfang Januar 2015

Kaputte Systeme werden noch verkauft

Das ist nicht nur ein Problem für viele Nutzer, die nun mit dem Risiko eines erfolgreichen Angriffs auf ihr Gerät leben müssen, gegen das sie nichts tun können. Vor allem auch in der Unternehmens-Welt, wo Veränderungen in den IT-Infrastrukturen ihre Zeit brauchen, ist der Einsatz von Android damit nicht gerade ratsam, wenn bereits nach relativ kurzer Zeit der Support für ein Major-Release des Betriebssystems eingestellt wird. Hinzu kommt, dass sogar noch Mobiltelefone mit Jelly Bean verkauft werden. Es ist also nicht unbedingt davon auszugehen, dass die Zahl der betroffenen Nutzer in absehbarer Zeit rapide abnehmen wird.