Episode Details

Die i/o-Keynote von Google ist vorbei, die komplette Veranstaltung mittlerweile auch. Vieles kam nicht, kein Wort zu lang erwarteten SmartWatches. Oder Fuchsia, als potentieller Nachfolger. Und ein Thema, um das sich kurz vor der i/o noch einige Gerüchte gebildet hatten, wurde auch nicht direkt angesprochen. Daher die Frage: wie läuft es denn nun zukünftig mit den Sicherheitsupdates auf Android - erst recht ab dem kommenden Android Q?

Auf der diesjährigen i/o hat Google ein richtiges Feuerwerk abgebrannt. Datenschutz, Privatsphäre, neue Hardware, Künstliche Intelligenz und vieles mehr. Auch ein kurzer Ausblick auf das kommende Android Q durfte nicht fehlen.

Im Vorfeld der i/o machte bereits ein Gerücht die Runde: Google werde künftig, also mit Android Q, seine Systemupdates auf Android ganz "normal" über den Google Play Store verteilen. Quasi Systemupdate als App-Update.

Aus diesem Gerücht entwickelte sich ein weiteres: nicht nur Systemupdates, nein, auch Sicherheitsupdates, werden ab Android Q über Google Play verteilt. Das wäre ein riesen Schritt, mussten doch für dringende Updates in der Vergangenheit neben dem Sicherheits-Update immer gleich noch ein Systemupdate drum herum gestrickt und over the air verteilt werden. Warum auch immer...

Aber es sollte wohl ein Gerücht bleiben, zumindest kann ich mich nicht erinnern, dass irgendjemand dies als Neuigkeit oder Ankündigung während der Keynote erwähnt hätte.

Nun aber tut sich hier was!
Basis des Ganzen war die letzte Umstrickung des Android-Kerns seitens Google mit Namen "Treble". Hiermit solle vor allem sicher gestellt werden, dass Drittanbieter auf ihren Geräten neueste Updates schneller zur Verfügung stellen können. Wenn ich mich recht entsinne war es 2017, als dies umgesetzt wurde, natürlich mit dem Schwerpunkt auf das Thema Sicherheit.

Und "heute" geht es, mit kommenden Android Q, von Treble zu Mainline.
Mainline ist hierbei nichts neues, nein, es nutzt den Kern von Treble . Erfolgreich bei der Verteilung von Android Updates ist das (alte) System leider noch nicht so sehr, wie Google sich das wahrscheinlich gewünscht hätte. Aber die Verteilung von Sicherheitsupdates hat sich dramatisch verbessert: 84%, laut Google.

Und natürlich: die Änderung wird, wenn sie denn dann live geht, zuerst auf den neuesten Geräten, den beiden Pixel 3a/3a XL ausgerollt.

Mainline sieht Module vor, die individuell per "App-Update" sicher gemacht werden können. So wie es aktuell aussieht, handelt es sich um eine Hand voll "Komponenten" - diese haben sich aber in den letzten Jahren immer als extrem anfällig für Sicherheitslücken gezeigt. Und, ganz dem Motto der diesjährigen i/o, sind die Komponenten in drei Bereiche unterteilt: Datenschutz, Konsistenz und Sicherheit.

Bei der Komponente Datenschutz wird es z.B. zeitnahe Updates für die Berechtigungs-Steuerung geben. Konsistenz wird sich in erster Linie um die komplette Stabilität von Android kümmern. Damit sollte, zumindest in der Theorie, ein "gebricktes" - also von einem fehlerhaften Update in einer Boot-schleife hängendes - Telefon der Vergangenheit angehören. Und in der Sicherheit spricht der Name bereits für sich: sicherheitsrelevante Systeme des Androids können hierbei individuell aktualisiert werden.

Dafür hat Google auch ein neues Format entwickelt. Wer es nicht weißt: eine gängige App aus dem Google Play Store hat eine "Datei-Endung" - die da lautet APK.

Für Mainline gibt es ein neues Format, das APEX. APEX an sich agiert wie eine "reguläre" App. Jetzt wird es kurz oberflächlich technisch, um Euch den Unterschied zu erklären: APEX kann, neben Programmcode, was typisch für eine App