Android und Sicherheit hat Potenzial für eine Endlosserie. Grundsätzliche Überlegungen hatte ich bereits vor einiger Zeit formuliert (siehe: Android – Keine sichere Alternative!), gefolgt von einer Meldung zur Ortung von Androidnutzern über vermeintlich abgeschaltete Bluetooth (und WLAN)-Funktionalität (siehe: Kommentar: Android – Keine sichere Alternative Teil II – Standortdaten über Bluetooth).
Dies wird nun gekrönt durch Meldungen z.B. auf heise.de über vorinstallierte Trojaner bei preiswerten Android-Smartphones.
Die Schadsoftware ist dabei tief im System verankert und kommt vermutlich über externe Softwareentwickler auf die Geräte. Die Liste umfasst zwar vorwiegend so genannte China-Modelle, d.h. preiswerte Smartphones, die nicht direkt in Deutschland angeboten werden. Diese preiswerten Smartphones aus China erfreuen sich aber zunehmender Beliebtheit in Deutschland. Weltweite Lieferungen sind schließlich kein Problem mehr und die chinesischen Modelle bieten meist vergleichsweise leistungsstarke Hardware zu günstigen Preisen. Ein nicht zu unterschätzender Faktor im Benchmark-fixierten Android-Universum.
Wer glaubt, dass das Problem sich auf Billig-Smartphones im chinesischen Markt beschränkt irrt zudem. Im vergangenen Herbst kam immerhin heraus, dass der in der Android-Szene beliebte Anbieter OnePlus mittels seiner Android-Variante OxygenOS die Nutzer trackt und die erhobenen Daten an OnePlus überträgt. Der folgende Aufschrei zeigte zwar Wirkung, ändert aber nichts ab grundlegenden Problem.
Beide Meldungen zeigen mal wieder, dass ein im Kern aus Open Source-Software bestehendes System keine Sicherheitsgarantie bringt. AOSP mag frei sein, die Firmware ist es oft nicht und die Stock-Roms der Hersteller sind vielfach modifiziert. Kombiniert mit dubiosen Hardwareherstellern, von denen viele inzwischen im preisfixierten Mainstream angekommen sind, ist das ein Sicherheitsalbtraum.
Android ist vergleichbar mit Windows. Das offene Distributionsmodell zersetzt ein eigentlich gar nicht so schlechtes System durch Crapware, proprietäre Herstellerapps, proprietäre Google-Dienste, kombiniert mit einem gescheiterten Updatesystem und ahnungslosen Anwendern.
Es ist mir daher nach wie vor schleierhaft wie man als sicherheitsbewusster Anwender dieses System irgendwem empfehlen kann. Eigentlich muss man jedes gekaufte Gerät unverzüglich rooten, mit einer Custom Rom versehen, von Google-Diensten befreien und selbst dann hat man noch die geschlossene Firmware als Sicherheitsrisiko. Gegen diesen Zirkus ist die Installation und Distribution von Linux ja ein Kinderspiel.
Nein, wenn es etwas freies sein soll, muss man zu wirklich freien und funktionierenden Systemen wie SailfishOS greifen. Dieses wird durch einige Hersteller wie z.B. Sony ja inzwischen wenigstens semi-offiziell unterstützt. Ansonsten kann man auch zu Apples iPhone greifen. Das ist zwar hochgradig geschlossen aber auch nicht weniger vertrauenswürdig als das oben aufgezählte Sammelsurium. Immerhin interessiert sich da der Hersteller noch für den Kunden und das nicht nur bis zum Bezahlvorgang.
Ich bin mir nicht sicher, ob Android überhaupt noch zu retten ist oder die Probleme grundsätzlich struktureller Natur sind. Das Distributionsmodell ist einfach komplett gescheitert. Vermutlich bräuchte es da einen Neustart. Der wird aber nicht kommen, die Marktanteile sind hoch, die Geräte beliebt und Google-Dienste somit bei Milliarden von Anwendern vorinstalliert. Da besteht einfach kein Interesse an einem Neustart. Eine interessante Parallele zu Windows.
