Kann mir mal jemand die Android Updatepolitik (Sicherheitspatches) erklären?

[Mimiwurst]

Moin in die Runde.

Kann mir von euch mal jemand die Android Security Patchlevel mit der Fragmentierung zwischen den Android Versionen (5/6/7) erklären?

Etwas präziser: Mir ist bewusst, dass die Sicherpatchebene jeweils am 1. und 5. kommt. Was ich absolut nicht verstehe, ist eben, wie die Updates verteilt werden und ob auch alte Android Versionen gepatcht werden. Gerade eben auch bei nicht stock Geräten.
Nehmen wir MiUI, mitunter noch auf Lollipop basierend. Die Geräte erhalten ja dennoch Updates, aber werden da auch Sicherheitslücken adressiert, obwohl Android 5 EOL ist?

Veröffentlicht google einfach die jeweiligen CVE und auch Code für ältere Androidversionen, so das die Hersteller auch ältere Geräte patchen können, sofern sie denn wollen? Oder ist ein totes Android auch seitens google im Bezug auf Sicherheitslücken "tot"?

Mimiwurst

 

[heubergen]

Ich glaube dass die Patches nur für die aktuelle Version bereitgestellt werden und davon den Hersteller auf die jeweiligen Systeme angepasst werden müssen.

Hier eine Quelle von Januar 2015 die davon spricht dass der Support für Android 4.3 aufgegeben wurde.

 

[Hoikaiden]

Über die Googledienste wurde die Sicherheitsebene ausgelagert, so ist es nun möglich aktuelle Sicherheitsebenen anzupassen ohne das das OS ein Update dafür benötigt.
So aktualisiert sich auch der Playstore noch in älteren Versionen. Allerdings sollte man nicht zu lange warten, denn wie aus obiger Liste zu entnehmen ist, funktioniert das nicht ewig bzw. es endet auch mal.

 

[G00fY]

Also die Nexus Geräte mit Android 5.0 sind vielleicht EOL. Die Sicherheitspatches die Google bereitstellt enthalten aber weiterhin Fixes für CVEs, welche auch ältere AOSP Versionen abdecken.
So kam es ja auch, dass Samsung Ende 2015 beispielsweise Fixes für Android 4.4 im Zusammenhang mit Stagefright veröffentlicht hat. In dem letzten Patch von January 2017 sind auch noch Fixes für AOSP 4.4 enthalten.

Die Updates werden aber nicht von Google verteilt, sondern nur in Form von Fixes veröffentlicht. Die Umsetzung der Sicherheitspatches liegt aber weiterhin im Ermessen der Hersteller. Ich denke, um unter dem Einstellungsmenü ein bestimmtes Sicherheitslevel auszuweisen, muss er Hersteller aber alle Patches bis dato integriert haben. Das ist aber natürlich mit Aufwand verbunden. Teilweise beziehen sich auch viele Sicherheitslücken auf den Kernel. Sprich dies liegen nicht nur Fehler "im OS selbst".

@Hoikaiden: Es stimmt zwar dass die Play Dienste inzwischen eine zusätzliche Sicherheitsebene darstellen. Diese sind aber nicht mit den Security Patches gleichzusetzen. Die Dienste überwachen zB auf oberster Ebene auffällige Apps.

Zusammenfassend kann man aber sagen, dass das ganze ein großes Durcheinander ist. Die wenigsten Hersteller nehmen die Security Patches ernst. Gleichzeitig muss man aber auch realistisch sagen, dass die Gefahren die dadurch potenziell entstehen begrenzt sind. Am "sichersten" fährt man aber mit einem Nexus/Pixel Gerät oder einem Gerät mit gutem Custom Rom Support.

 

[TheManneken]

Kann man daher sagen, dass es bei Geräten, die keine neuen Android-Releases mehr erhalten und z.B. bei 6.0.x oder gar 5.x stehengeblieben sind, keine Sicherheitsbedenken gibt? Scheint ja schon einige Smartphonenutzer zu geben, die deshalb gegen Android argumentieren.

 

[Steini1990]

Natürlich gibt es Sicherheitsbedenken bei Android. Bei alten Versionen dann, wenn der Hersteller die Patches nicht mehr weiterleitet.
Das ist halt die grundsätzliche Schwachstelle von Android. Nämlich das man von den Hardware Herstellern abhängig ist. Wenn SoC Hersteller wie Qualcomm oder direkt die Gerätehersteller keine Treiber und Softwarepflege mehr machen dann bleibt man mit seinen Gerät auf der alten Version sitzen.
Inkl. Sicherheitsproblemen.

 

[DarkInterceptor]

und damit wollen doch die hersteller das man ihnen neue hardware abkauft.
das ein android gerät locker doppelt oder dreimal so lange hält bis es abkackt stört die nicht. alle 2-3 jahre mal eben keine software weiter patchen und schon darf man sich was neues kaufen falls man auf neue androiden steht.
allerdings muss man dazusagen das wirklich viele menschen sich alle 2 jahre ein neues smarty kaufen und daher garnicht an sowas denken müssen.

 

[findichgut]

Ich hatte mal einen Wlan Ebook Reader mit Android von Archos da gabs kein einziges Update. Da ist man besser mit dem Teil nicht mehr ins Inet gegangen.
Jetzt habe ich einen von Pocketbook da gibt's regelmäßig Updates.
Smartphones haben wir eh die Lumias mit Windows Mobile da gibt es regelmäßige Updates.

 

[Mimiwurst]

Vielen Dank euch allen für die Aufklärung.

Gibt es irgendwie eine EOL Liste, ab wann Google keine AOSP Fixes mehr für Version XYZ bereitstellt, also ab wann "wirklich" Ende ist, auch für Sicherheitslücken?

und damit wollen doch die hersteller das man ihnen neue hardware abkauft.
das ein android gerät locker doppelt oder dreimal so lange hält bis es abkackt stört die nicht. alle 2-3 jahre mal eben keine software weiter patchen und schon darf man sich was neues kaufen falls man auf neue androiden steht.

Und genau deshalb werde ich mir wohl ein Xiaomi in der global Edition mit Band 20 zulegen. MiUI wird gepflegt und selbst wenn nicht, gibt es für mein Wunschgerät schon offiziellen Lineage Support.

Ganz ehrlich, da können mir die "big player" glatt gestohlen bleiben.

 

[devebero]

Das verstehe ich auch nicht so wirklich. Ich brauch ja nicht zwingend eine neue Android Version. Aber Sicherheitspatches hätte ich dann schon gerne. Kommt aber für mein Xperia Z2 Tablet auch nicht mehr. Stehe auf dem Stand vom Mai 2016. Das ist auch der Grund, warum ich zum ipad wechseln werde. Da gibt es die Updates doch eine Zeit lang länger. Und gerade wenn man Bankgeschäfte am Tablet erledigen möchte ist mir das doch sicherer.

 

[Hoikaiden]

...die deshalb gegen Android argumentieren.

Auch Apple lässt 4 und 4sNutzer mittlerweile im Regen stehen. Das Argument trifft alle Hersteller, manche nur eher, manche etwas später.
Aber da gibt es ja die Community.

 

[devebero]

...dann doch lieber später. Wenn man bedenkt wie als das 4er und 4s ist soll mir persönlich das recht sein. Bei Android ist ja leider schon bei dem nächsten Major Update Schluss mit Updates.

 

[wus]

Ist die Info hier noch aktuell?

Ich frage weil ich gestern mein neues Note 8 gekriegt habe und das jetzt gerade eine ziemliche Update-Arie hingelegt hat. Einige Stunden nach dem Hochfahren gestern kündigte es den Sicherheitspatch-Update auf November an und fragte, ob der in der Nacht zwischen 2 und 5 Uhr durchgeführt werden. Ich stimmte dem zu, aber als ich das Handy heute früh einschaltete, fing es sofort an upzudaten. Ich dachte zuerst, der Update auf November-Ebene wäre nicht wie geplant durchgeführt worden, habe aber anschließend festgestellt, dass das der Dezember-Patch war. Und danach kam gleich der für Januar. Seither allerdings geht nichts mehr weiter.

Da würde mich jetzt interessieren

1. Müssen alle Patches der Reihe nach installiert werden? Reicht es nicht, gleich den neuesten zu installieren?
2. Warum stoppte die Sequenz bei Januar? Wir haben inzwischen Mitte Februar... die bisherigen Software-Versionen datierten immer vom Anfang des namensgebenden Monats, sollte also nicht inzwischen auch der Februar-Patch verfügbar sein?

 

[Leuter]

1. Ja! Der (Installations-) Sicherheit wegen.
2. Der Januar-Patch (von Google am 2.1. herausgegeben) kam bei Samsung ca. 2 Wochen später (bei mir am 15.1.). Einen Februar-Patch wird es wohl nicht geben - Samsung hat das große Android 9-Update für diesen Monat angekündigt!

P.S.: Gratulation zu Deiner Wahl - probier mal die Dex-Station (das ältere Modell - das hat einen Ethernet-Anschluß zur Einbindung in ein Netzwerk....)!

 

[wus]

Okay, vielen Dank.

Dex-Station werde ich mir wohl sparen, habe zu Hause 2 recht ordentliche Computer, da kommt das Handy wenn überhaupt dann fast nur in anderen Zimmern zum Einsatz. Wüsste nicht wozu ich dem Handy LAN über Ethernet geben müsste ... das ac-WLAN funktioniert eigentlich recht gut, ist jedenfalls schneller als unser Internet-Zugang. Selbst Zugriff aufs NAS ist damit kaum langsamer als über LAN. Die gut 10 GB Musik die ich mir gestern noch vom NAS aufs Handy gesynct habe waren in rund 4 Minuten übertragen.