Adieu, Android — wir müssen uns leider trennen

Niemals, niemals würde ich ein iPhone kaufen, schwor ich in ungezählten Diskussionen mit Freunden, als vor einigen Jahren das erste Smartphone von Apple auf den Markt kam.

Als überzeugter Apple-Hasser habe seitdem immer nur Android-Handys besessen. Doch jetzt reicht es mir—ich bin bereit, zur dunklen Seite zu wechseln. Lasst mich erklären, warum.

Neulich hing ich mit ein paar Hackern und Sicherheitsexperten auf einer Konferenz in Brooklyn rum. Als ich mein Sony-Handy herauskramte, meinte der Typ neben mir mit höchst spöttischem Unterton: „Oh. Der Herr Journalist hat ja ein Android-Smartphone. Sicherer geht's nicht!".

Ich überhörte seinen Sarkasmus einfach, obwohl ich natürlich als Autor für IT-Sicherheit wusste, dass er im Grunde genommen Recht hatte. Wenige Tage später wirkte seine spöttische Bemerkung bereits fast wie eine vorausgeschickte Warnung.

Wir ihr wahrscheinlich wisst, entdeckte ein Sicherheitsexperte Ende Juli eine Reihe von Bugs im Quellcode von Android, die es Hackern ermöglichen, Geräte mithilfe einer einfachen Multimedia-Nachricht zu hacken und auszuspionieren.

Falls ihr euch Sorgen macht, euer Android-Handy könnte anfällig für diese kollektiv unter dem Namen Stagefright bekannten Bugs sein, muss ich euch leider sagen: Wahrscheinlich ist das tatsächlich der Fall. Bei etwa 950 Millionen Handys sieht es jedenfalls sehr danach aus.

Bis Ende Juli wusste ich natürlich noch nichts über Stagefright. Dass Android nicht besonders sicher ist, war mir allerdings schon länger klar.

Trotzdem hatte ich den sarkastischen Typen einfach ignoriert, da ich mich als Android-Fanboy und Querdenker bezeichnen würde.

Schon als Teenager habe ich Apple-Produkte abgelehnt, weil die Firma ständig versucht hatte, mir krampfhaft ihre Apps aufzuzwingen—jedes Mal, wenn ich einen verdammten Film-Trailer auf Quicktime ansehen wollte. Apples abgeschirmtes Paradies—mitsamt dieser „Wir-kontrollieren-alles"-Attitüde—habe ich schon immer gehasst. Besonders gegen den Strich ging mir aber diese dämliche Apple-Fanboy-Hysterie: „Oh mein Gott, irgendein neues iDing kommt wieder auf den Markt, das muss ich haben!".

Trotz allem werde ich Android wohl bald den Rücken kehren müssen.

Versteht mich nicht falsch, ich liebe den Open-Source-Ethos von Android und auch, dass man sich seine persönliche Version basteln kann. Android ist aus vielen Gründen toll. Aber es gibt einen einfachen, und zwar wirklich fundamentalen Grund, weshalb ich es nicht mehr aushalte:

Google hat noch immer sehr wenig Kontrolle über die Software-Updates, und Android-Nutzer sind ihren Betreibern und Handy-Herstellern komplett ausgeliefert, was Updates oder neue Versionen des Betriebssystems betrifft. Sony brauchte beispielsweise geschlagene sechs Monate, um Android 5.0 Lollipop auf die neuen Xperia Z-Geräte zu spielen. Nur zum Vergleich: Als Apple im September 2014 iOS 8 rausbrachte, war es sofort für alle iPhone-Nutzer verfügbar, sogar für diejenigen, die noch ein iPhone 4S von 2011 hatten.

Sicherheitsexperte Cem Paya findet, dass Google bei der Entwicklung von Android bewusst einen faustischen Pakt eingegangen sei: „Sie gaben die Kontrolle ab und eroberten dafür Marktanteile im Kampf gegen das iPhone." Google ließ die Betreiber ihre Bloatware auf die Android-Handys packen, um auf dem Smartphone-Markt eine Chance im Kampf gegen Apple zu haben. Dieser Kompromiss gab den Firmen natürlich Kontrolle über Android—Google dagegen ist nicht in der Lage, Updates für sein Betriebssystem zentral auszuspielen.

Sicherheitsforscher Nicholas Weaver drückte das Problem auf Twitter so aus: „Stellt euch vor, Windows-Updates müssten erst von Dell und eurem Internetanbieter abgesegnet werden, bis sie bei euch ankommen."

Obwohl das Problem bekannt ist, ändern sich die Dinge nur schleichend langsam. Google hat heute dank Google Play Services geringfügig mehr Kontrolle über Updates, da ein paar APIs im Hintergrund automatisch aktualisiert werden. Sicherer wurde es dadurch aber nicht wirklich. Google lehnte es vor ein paar Monaten beispielsweise ab, eine Sicherheitslücke zu schließen, die immerhin 60 Prozent der Android-User betrifft.

Am schlimmsten ist jedoch, dass Google bereits am 9. April von den Stagefright-Bugs erfahren und die Hersteller umgehend informiert hatte. Google hatte äußerst schnell reagiert und schon vor Monaten Patches an die Hersteller geliefert. Doch ihr alle bekommt sie trotzdem erst in ein paar Wochen (wenn ihr Glück habt), in ein paar Monaten (was wahrscheinlicher ist) oder nie (auch eine konkrete Möglichkeit)—je nachdem, wie alt euer Handy ist. Sollte es zu alt sein, wird es von den Herstellern einfach nicht mehr unterstützt.

Die Experten-Website Android Central bezeichnete deswegen das Verteilen der Updates als „chaotische, unvorhersehbare Angelegenheit", für die man viele „Teile in Bewegung" setzen müsse.

Und hier liegt der grundlegende Unterschied zwischen Android und dem iPhone: Wenn es einen Bug in iOS gibt, kann Apple einfach sofort ein Update an alle iPhone-User schicken.

Wenn euch das mit Android passiert, schickt Google einen Patch raus und dann… weiß niemand, wann die Samsungs, HTCs und Sonys dieser Welt es als dringend genug empfinden, dieses Update auch an euch zu senden—auch wenn sie mittlerweile langsam damit anfangen, sich darum zu kümmern. Sie haben nämlich ein aktuelles Betriebssystem als Wettbewerbsvorteil entdeckt. Sogar Nexus-Handys, über die Google die volle Kontrolle hat, haben bisher noch keinen Patch für Stagefright erhalten.

Was ihr nun also mit euren Android-Handys macht? Das bleibt euch überlassen. Aber ihr habt diese Wahlmöglichkeiten:

Ihr könnt euer Android-Handy mit der vom Betreiber abgeänderten Version behalten und Sicherheitsupdates entweder mit wochenlanger Verspätung oder gar nicht bekommen. Oder ihr könnt euer Handy rooten und das exzellente, schneller aktualisierbare Betriebssystem CyanogenMod, das auf Android basiert, installieren—das Ganze ist allerdings nicht idiotensicher und bei bestimmten Herstellern seid ihr auf die Arbeit von Freiwilligen angewiesen, was die Kompatibilität von Updates angeht.

Ihr könnt natürlich auch einfach ein iPhone kaufen. Und so sehr mein früheres Ich mich dafür auch hassen wird: Genau dafür werde mich jetzt wohl oder übel entscheiden.