zurück zum Artikel

In einem Vertrag schreibt Google Herstellern von Android-Smartphones regelmäßige Sicherheitsupdates vor. Diese Verpflichtung gilt bereits seit dem Sommer.

Hersteller von populären Android-Smartphones müssen ihre Geräte mindestens zwei Jahre lang mit Sicherheitsupdates versorgen. Das berichtet The Verge anhand eines Vertrags, der dem US-Technikmagazin vorliegen soll. Demnach müssen Handys im ersten Jahr mindestens vier Google-Sicherheitsupdates bekommen. Google veröffentlicht jeden Monat einen Sicherheitspatch.

Auch im zweiten Jahr müssen sie noch Updates bekommen, eine Anzahl schreibt Google laut The Verge [1] aber nicht mehr vor. Am Ende eines Monats müssen Geräte allerdings gegen alle Schwachstellen geschützt sein, die vor mehr als 90 Tagen entdeckt wurden.

Der Vertrag zwischen Google und den Herstellern von Android-Handys hat einige Einschränkungen:

• Betroffen sind ausschließlich Smartphones, die von mindestens 100.000 Nutzern aktiviert wurden. Diese Voraussetzung dürften alle Handys großer Hersteller erfüllen.
• Der Vertrag wird nur auf Handys angewendet, die nach dem 31. Januar 2018 auf den Markt gekommen sind.
• Die Regelungen im Vertrag müssen bereits seit dem 31. Juli 2018 umgesetzt werden, bisher müssen Entwickler dessen Bedingungen allerdings nur bei 3 von 4 theoretisch betroffenen Smartphones anwenden. Diese Schonfrist entfällt am 31. Januar 2019.
  

Regeln sollen seit Juli gelten

Laut The Verge finden sich diese Regelungen in den kommenden Lizenzbedingungen für den Europäischen Markt, die am 29. Oktober in Kraft treten sollen. Ob die Klauseln auch in den globalen Lizenzbedingungen festgeschrieben sind, ist unklar. Offenbar war der Vertrag aber in irgendeiner Form seit spätestens Juli 2018 im Einsatz, da seine Forderungen seit diesem Datum umgesetzt werden müssen. Eine Nachfrage von heise online hat Google nicht unmittelbar beantwortet.

Dass Google von Geräteherstellern regelmäßige Sicherheitsupdates fordert, war bereits bekannt. In einem Blog-Eintrag vom 22. August [2] schreibt Google etwa: "Weil wir Sicherheitslücken in der Regel innerhalb von 90 Tagen öffentlich machen, sind Sicherheitsupdates im 90-Tage-Takt eine Mindestanforderung für die Gerätesicherheit".

Geräte, die am Enterprise-Recommended-Programm teilnehmen, müssen diese Mindestanforderung zwingend erfüllen, schrieb Google in dem Eintrag weiter. Nicht bekannt war, dass diese Regelung offensichtlich mit den oben genannten Einschränkungen auch für andere Android-Handys bereits vertraglich vorgeschrieben war.

Wenn Hersteller von Android-Handys Google-Dienste nutzen wollen – wie etwa den Play Store – müssen Sie Google um Erlaubnis fragen. Google hat also die Möglichkeit, den Herstellern Bedingungen aufzuerlegen, obwohl das Android-Betriebssystem selbst Open Source ist. Bei Verstoß gegen diese Vorschriften kann Google den Herstellern die weitere Freigabe von Smartphones mit Google-Diensten verwehren. Die Lizenzbedingungen sind nicht öffentlich. (dahe [3])

URL dieses Artikels:
https://www.heise.de/-4203113

Links in diesem Artikel:
[1] https://www.theverge.com/2018/10/24/18019356/android-security-update-mandate-google-contract
[2] https://security.googleblog.com/2018/08/evolution-of-android-security-updates.html
[3] mailto:dahe@heise.de

Copyright © 2018 Heise Medien