Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
Ratgeber

Android 8 (Oreo): Das ist neu bei Sicherheit und Datenschutz

Ein Artikel von , veröffentlicht am 06.09.2017, bearbeitet am07.12.2017
Pixabay, CC0

Die neue Android-Version bringt weniger neue Funktionen mit als ältere Versionen. Google hat sich stattdessen auf Verbesserungen im Bereich Sicherheit und Datenschutz konzentriert. Besonders Nutzer alternativer App-Stores dürften sich freuen.

Android 8: Sicherheit steht im Vordergrund

Google hat Ende August eine neue Version seines Mobilbetriebssystems Android herausgebracht. Die Version 8 hört auf den Namen Oreo und soll Nutzer weniger durch viele neue Funktionen überzeugen, sondern das große Problem von Android – die Sicherheit – angehen. In Zukunft sollen Nutzerinnen und Nutzer ihre Sicherheitsupdates vermehrt von Google selbst bekommen. Sie sind damit weniger von den individuellen Herstellern abhängig.

Eine wichtige Änderung dürfte vor allem Nutzer alternativer Appstores wie F-Droid oder Amazons Android-Appstore freuen. Bislang hatten Anwender nur die Wahl, entweder keine oder alle externen Quellen für Apps zuzulassen.

Wer etwa F-Droid nutzen wollte, weil die dort gelisteten Apps mehr auf die Privatsphäre achteten, musste immer das Risiko in Kauf nehmen, dass auch Apps aus anderen, unerwünschten Quellen installiert werden können. Dadurch konnten auch nachgeladene Schadsoftware oder Skripte auf das System gelangen.

Mit Android 8 ist es möglich, bestimmte Quellen freizuschalten, aber alle anderen weiterhin zu blockieren. Dieser Schritt ist aus Datenschutzsicht zu begrüßen. Außerdem hilft diese Einstellung gegen Apps, die von sich aus Code nachladen wollen, um Malware zu platzieren. Zuletzt beispielsweise hatte Google 500 solcher Apps aus dem Appstore entfernt.

Informationen zu F-Droid und anderen App-Stores finden Sie im Beitrag App-Stores für Android: Die Qual der Wahl.

Blick auf andere Apps: Neugier gezügelt

Ebenfalls positiv für Nutzer: Einzelne Apps auf dem Smartphone können künftig weniger über andere Anwendungen erfahren, die auf dem Gerät installiert sind. Bislang konnten Anbieter die Konfiguration von anderen Apps auf dem Smartphone auslesen.

Mehreren Studien zufolge ist dadurch ein relativ genaues Fingerprinting möglich, wenn Nutzer nur wenige individuelle Apps abseits der großen Standardanwendungen installiert haben. Beim Fingerprinting können Nutzer anhand verschiedener Merkmale eindeutig identifiziert werden – weil davon ausgegangen wird, dass jede App-Konfiguration auf einem Smartphone einzigartig ist.

Technisch funktionierte das dadurch, dass bislang für jeden Nutzer auf dem Smartphone eine sogenannte Android-ID erzeugt wurde. Apps konnten untereinander auslesen, welche Prozesse sonst auf dem Gerät liefen. Künftig wird jede App eine einzelne ID bekommen und erfährt nicht mehr, welche anderen Apps sich auf dem Gerät befinden.

Verbesserungen für Passwort-Manager

Ebenfalls einfacher wird die Verwendung von Passwort-Managern. Gerade auf dem Smartphone ist die Eingabe sicherer Passwörter oft eine Qual, besonders dann, wenn Dienste sehr komplexe, aber nicht unbedingt sicherere Passwörter, verlangen.

Mit der sogenannten Autofill-Funktion können Passwort-Manager wie Lastpass oder Keepass für Android besser auf die Passwort-Felder der einzelnen Apps zugreifen und den Login automatisch vornehmen. Auf Wunsch kann dies durch den Fingerabdruck der Nutzer oder eine Pin abgesichert werden.

Was Passwort-Manager sind und welche es gibt, erfahren Sie in unserem Beitrag Passwort-Manager richtig verwenden.

"Play Protect"-Dienste unter eigenem Menüpunkt

Das Sicherheitssystem "Google Play Protect", das bereits aus früheren Versionen bekannt ist, bekommt künftig einen eigenen Menüpunkt. Bislang war es in den Einstellungen des Playstores versteckt. Mit Play Protect bietet Google eine ganze Reihe an Sicherheitsfunktionen an. Unter anderem werden die auf dem Gerät installierten Apps regelmäßig mit einer Liste schädlicher Apps verglichen, um Malware aufzuspüren.

Andere Sicherheitsfunktionen von Google, etwa "Google Safe Browsing" und die Möglichkeit, das Gerät nach Verlust oder Diebstahl aus der Ferne zu sperren oder alle Inhalte zu löschen, sind nun ebenfalls zentral erreichbar.

Für Safe Browsing sammelt Google Informationen über schädliche Webseiten, die etwa Malware verteilen oder bestimmte, besonders invasive Tracker nutzen, und warnt vor dem Besuch entsprechender Seiten.

Nutzer sollen durch Android 8 auch vor Malware geschützt werden, die sich die Berechtigungen zum Zugriff auf bestimmte Funktionen erschlichen hat. Das passiert oft dadurch, dass die Apps die Systemeinstellungen von Android durch eigene Fenster überlagern. Nutzer willigen darauf in bestimmte App-Berechtigungen ein, ohne dass sie es merken. Künftig können Systemmeldungs-Fenster an keiner Stelle mehr von Apps überlagert werden.

Wie Schadprogramme mit solchen überlagernden Bildschirmen funktionieren, erklären wir im Beitrag Lösegeld-Programme (Ransomware).

Project Treble

Viele der Änderungen in Android 8 werden den meisten Nutzern nicht auffallen, bringen aber wichtige Verbesserungen in der Sicherheit mit sich. Dies betrifft vor allem einen der kritischsten Punkte von Android: Die Versorgung mit Sicherheitsupdates (Patches). Viele Hersteller sind nicht in der Lage, die jeden Monat von Google herausgegebenen Patches schnell für ihre Geräte anzupassen und auszuliefern.

Mit dem sogenannten Project Treble soll die Weiterentwicklung des Betriebssystems von der Entwicklung der Treiber für die Hardware, etwa den WLAN- oder den Bluetooth-Chip, entkoppelt werden. Gerade die Entwicklung angepasster, sicherer Treiber ist sehr kompliziert und überfordert viele Hersteller, während die Updates für die eigentliche Software nur wenig Anpassung benötigen, um auf den verschiedenen Smartphones zu funktionieren.

Updates sollen damit künftig schneller ausgeliefert werden. Als Beispiel für entsprechende Schwachstellen kann der Medienserver von Android genannt werden, der im Hintergrund Funktionen, etwa für die Videowiedergabe oder das Abspielen von Musik, zur Verfügung stellt. Seit der Stagefright-Sicherheitslücke weist er immer wieder zum Teil kritische Fehler auf.

Einen Blick zurück auf die unter Stagefright zusammengefassten, gravierenden Sicherheitslücken wirft der Beitrag Sicherheitslücke Stagefright.

Auch wenn Nutzer mit diesem Vorgehen nicht vollständig vor Fehlern in den Hardware-Treibern geschützt sind, dürfte dies für viele Geräte ein wichtiger Schritt nach vorne sein. Manche Hersteller besitzen schlicht keine Lizenzverträge mehr, um die Treiber alter Hardware-Komponenten weiterzuentwickeln. Diese Nutzer mussten bisher komplett auf Aktualisierungen verzichten.

Allerdings werden in der Regel nur solche Geräte auch Project Treble unterstützen, und damit von schnelleren Updates profitieren, die ab Werk mit Android 8.0 ausgeliefert wurden. Google erlaubt es den Herstellern, Geräte mit älteren Android-Versionen auf 8.0 zu aktualisieren, ohne Project Treble zu unterstützen. Denn das Update mit der neuen Architektur ist sehr tiefgreifend - einige Hersteller befürchten, Geräte damit schwer zu beschädigen. OnePlus und Nokia haben angekündigt, aus diesem Grund auf Updates mit Project Treble zu verzichten.

Welche Geräte Project Treble bereits unterstützen, haben wir im Beitrag Augen auf beim Handykauf gelistet.

Veraltete Methoden zur Verschlüsselung entfernt

Einen überfälligen Schritt geht Google schließlich mit der Entscheidung, bestimmte alte Verschlüsselungsmethoden aus Android 8 zu entfernen. Die veraltete Transportverschlüsselung SSL wird in ihrer letzten Version 3 ersatzlos gestrichen.

Auch akzeptiert Google künftig keine fehlerhaft konfigurierten TLS-Verbindungen mehr. TLS bezeichnet die Transportverschlüsselung zwischen einem Browser oder einer App und dem Server des Anbieters. Im Browser wird diese Verschlüsselung meist durch ein grünes Schlosssymbol kenntlich gemacht.

Bislang wurde unter Android bei fehlerhafter Konfiguration versucht, eine ältere Version des TLS-Protokolls zu nutzen. Damit gelingt zwar der Verbindungsaufbau, doch alte Versionen von TLS haben verschiedene Sicherheitsprobleme, die dann gezielt ausgenutzt werden können. Experten sprechen von einer „Downgrade-Attack“.

Das Problem mit alten Verschlüsselungsstandards: Auch wenn diese längst als unsicher gelten, werden sie oft jahrelang nicht vollständig deaktiviert, weil ein Browser sonst unter Umständen keine alten Webseiten mehr akzeptiert. Dies können Angreifer ausnutzen.

Weitere Artikel

Ratgeber 

Security desaster: Blue Mail app and other email apps transmit login credentials

This article was originally published 7.3.2018 and refers to Version 1.9.3.20 of the blue mail app unless indicated differently Update (8.3.2018): Blue Mail Inc. has rolled out another Update, to version 1.9.4.2. In this version, we did not observe transmission of password and username with a connected gmx account. It all started with a test […]

Mehr
Ratgeber 

Apple Health und Google Fit – Gesundheit und Fitness mit Apple und Google

Sowohl Apple als auch Google warten mit eigenen Entwicklungen zum Thema Fitness und Gesundheit auf. Doch sie unterscheiden sich nicht nur in ihrer Ausrichtung. Auch beim Umgang mit den Daten der Nutzer weichen sie voneinander ab.

Mehr
Ratgeber 

Bilder anonymisieren mit ObscuraCam

Digitale Fotos enthalten mehr Informationen, als das, was auf dem Bild zu sehen ist. Zum Beispiel Uhrzeit und Ort der Aufnahme. Die App ObscuraCam entfernt diese Metadaten und kann Bilder auch verpixeln. Wir zeigen, wie es geht, und wo die App Schwächen hat.

Mehr
Ratgeber 

Reportage: Eine Woche ohne Google-Apps

Ein Alltag ohne Google Maps, die Google-Suche und den Play-Store – kann das gutgehen? Unsere Autorin hat für mobilsicher.de zehn Marktführer-Apps von ihrem Smartphone geworfen. Wie es ihr mit den datensparsamen Alternativen ging, erzählt sie hier.

Mehr