Endlich wurde das Gerücht bestätigt:  Android 8 heißt tatsächlich Oreo. Da das nun geklärt ist, können wir uns den tatsächlich interessanten Neuerungen widmen. Besonders spannend sind für uns natürlich die vielen kleinen Änderungen, von denen einige auch die oft kritisierte Sicherheitslage in Android betreffen. Ob sich die nun dadurch wirklich verbessert, wollen wir anhand der Features prognostizieren.

Safe-Browsing-API

Über die API können Apps prüfen, ob eine URL von Google als gefährlich eingestuft wird. Diese Funktion, die wir bereits aus Chrome und Firefox kennen, hat Datenschutz-technisch einen gravierenden Nachteil: Euer Browserverlauf wird praktisch vollständig an Google übermittelt.

Die bessere Wahl ist deswegen weiterhin ein Firefox-Browser mit der Erweiterung uBlock Origin.

Sideloading

Die Installation aus unbekannten Quellen war bisher entweder global erlaubt oder verboten. Jetzt könnt ihr diese Berechtigung feiner granulieren. So könnt ihr eine bestimmte App — etwa einen alternativen App-Store — freigeben, während die Installation aus dem Browser heraus weiterhin verboten bleibt.

Diese Funktion  ist grundsätzlich sinnvoll und kann für mehr Sicherheit sorgen, weil sich potentiell schädliche Apps nicht über die verbotenen Kanäle installieren können.

Für den F-Droid App-Store braucht ihr dieses Update übrigens nicht. Für derartigen Schutz gibt es da nämlich bereits die Privileged Extension. Damit könnt ihr Apps installieren und gleichzeitig die Installation aus Fremdquellen verbieten.

Virenscanner

Der Virenscanner aus Googles App-Store Play kommt jetzt auch auf die Geräte selbst und kann lokal nach schädlichen Apps suchen. Virenscanner können bekannten Schadcode finden, aber ihr Nutzen sinkt gegen Null, sobald er verändert wurde oder neu und damit dem Programm unbekannt ist. Es gab immer wieder Meldungen über schädliche Apps aus dem Playstore, da ist die Frage gerechtfertigt: Was soll dieser Virenscanner auf dem Gerät bringen, wenn er nicht die schädlichen Apps im Store findet? Er könnte zwar Apps aus Fremdquellen testen, aber auch hier gilt die eingangs erwähnte typische Beschränkung.

Wir teilen die Ansichten von IT-Security-Experte Felix von Leitner — besser bekannt unter seinem Nickname Fefe –, der Anti-Viren-Programmen grundsätzlich skeptisch gegenübersteht. Er hält den verantwortungsvollen Umgang mit IT-Systemen sowie den gesunden Menschenverstand für besseren Schutz gegen Schadware.

Gerade bei Android, das mit etwa 80% Marktanteil in Deutschland eine bunte Nutzerbasis hat, müssen wir auch an die Menschen denken, die keinen sicherheitsbewussten Umgang mit ihrem Handy pflegen — die Apps praktisch aus jeglicher Quelle installieren. Der Wunsch nach einer Absicherung ist natürlich verständlich. Allerdings täuscht der Virenscanner Sicherheit nur vor, da er wie eben schon erwähnt niemals jeden schädlichen Code kennen kann. Wer sicher sein will, muss sich gewisse Grundkenntnisse aneignen, oder eben auf die Installation aus Fremdquellen — abseits von Google Play und F-Droid — verzichten.

Updates

OTA-Updates, also solche die ihr direkt über das WLAN respektive das mobile Internet ladet,  sollen jetzt beim Download direkt in die System-Partition installiert werden und benötigen somit keinen freien Speicherplatz auf eurem internen Speicher.

Viel interessanter finden wir aber die neue Schnittstelle, die es den Herstellern ermöglicht, Updates schneller an die Geräte auszuliefern. Bei Android besteht leider schon lange ein Problem im Update-Prozess der Geräte — vor allem die Sicherheit leidet darunter. Und das, obwohl Google monatlich Sicherheitspatches veröffentlicht. Diese werden von den Herstellern aber oft nur langsam — und bei alten Geräten überhaupt nicht — ausgeliefert.

Ob die neue Schnittstelle daran wirklich etwas ändert, liegt zuletzt an den Geräteherstellern, die sie dementsprechend einsetzen müssen.

Fazit

Oreo liefert einige Verbesserungen, die an Androids katastrophaler Sicherheitslage tatsächlich etwas ändern könnten. Vor allem wenn die Hersteller endlich ihre Verantwortung wahr nehmen und eine anständige Update-Politik einführen. Ob das so kommt, bleibt allerdings abzuwarten.

Bedenklich finden wir, dass immer wieder Features Sicherheit versprechen, aber eigentlich dazu eingesetzt werden, den Nutzer genauer zu analysieren. Das ist leider nichts Neues und von Google ist es wohl auch nicht anders zu erwarten. Deswegen empfehlen wir euch trotz der kleinen Verbesserungen in Android 8 eher eine Custom-ROM, am besten komplett ohne Google, wenn ihr eure Souveränität wiedererlangen wollt.

Der Quellcode von Android Oreo ist seit kurzem im Android Open Source Project (AOSP) verfügbar. Wir können uns also bald über die ersten Umsetzungen in Custom-ROMs freuen.

– Eure Datenschutzhelden