https://pepelac.news/de/posts/id5157-google-andert-android-offenlegung-updates-nur-fur-oems

Google ändert Android-Offenlegung: Updates nur für OEMs

Android-Sicherheitsupdates unter NDA: Google schränkt Offenlegung ein

Google ändert Android-Offenlegung: Updates nur für OEMs

Google liefert Android-Sicherheitsupdates zunächst nur an OEMs unter NDA; Quellcode bleibt drei Monate unter Verschluss. Folgen für Transparenz, Forscher.

2025-10-13T23:03:06+03:00

Google stellt seine Praxis bei der Offenlegung von Schwachstellen und der Verteilung von Android-Sicherheitsupdates um. Künftig gehen Sicherheitsaktualisierungen zunächst ausschließlich an Gerätehersteller (OEMs), die eine Geheimhaltungsvereinbarung unterzeichnen.Nach den neuen Vorgaben darf der Quellcode von Korrekturen bis zu drei Monate nach Erhalt eines Updates nicht veröffentlicht werden. In dieser Zeit dürfen Anbieter nur Binär-Builds mit den Patches ausliefern, ohne technische Details offenzulegen. Das bremst die gewohnte Transparenz und beschränkt den frühen Einblick auf einen kleinen Kreis von Partnern.Bislang veröffentlichte Google vollständige Schwachstellenberichte zusammen mit den monatlichen Android-Sicherheitsbulletins. So listete die September-Ausgabe 2025 114 erkannte Probleme, während beim Oktober-Update die Beschreibungen vollständig fehlten. Der Unterschied ist kaum zu übersehen.Aufgefallen ist der Kurswechsel zunächst dem Team von GrapheneOS, einer datenschutzorientierten, unabhängigen Android-Distribution. Das Projekt hält die neue Linie für eine Erschwernis für freie Sicherheitsforscher und Custom-ROM-Entwickler, die auf zeitnahe technische Details angewiesen sind, um schnell reagieren zu können.Google wiederum erklärt, die vorübergehende Einschränkung solle die Gesamtsicherheit erhöhen, indem Angreifer daran gehindert werden, Patches rasch zu analysieren und Schwachstellen auszunutzen, bevor offizielle Updates eintreffen. Der Konzern beschreibt den Ansatz als eine Sicherheit-durch-Verschleierung-Strategie, die auf das Zurückhalten von Details setzt, bis Korrekturen breit ausgerollt sind.Um weiterhin zeitnah Updates liefern zu können, hat GrapheneOS bereits eine Partnerschaft mit einem Hersteller geschlossen, der Patches im neuen System direkt von Google erhält. Das ist eine pragmatische Umgehung, macht aber deutlich, dass der Zugang nun stärker an formale Vereinbarungen gebunden ist als an offene Dokumentation. Für das Android-Ökosystem heißt das mehr Koordination hinter verschlossenen Türen und weniger unmittelbare Nachvollziehbarkeit.

Google, Android, Sicherheitsupdates, Schwachstellen, Offenlegung, NDA, OEMs, Quellcode, GrapheneOS, Sicherheitsbulletin, Transparenz, Sicherheit-durch-Verschleierung, Patches, Custom-ROM

2025

Danny Weber

news

Android-Sicherheitsupdates unter NDA: Google schränkt Offenlegung ein

Google liefert Android-Sicherheitsupdates zunächst nur an OEMs unter NDA; Quellcode bleibt drei Monate unter Verschluss. Folgen für Transparenz, Forscher.

Danny Weber, Editor

23:03 13-10-2025

Nach den neuen Vorgaben darf der Quellcode von Korrekturen bis zu drei Monate nach Erhalt eines Updates nicht veröffentlicht werden. In dieser Zeit dürfen Anbieter nur Binär-Builds mit den Patches ausliefern, ohne technische Details offenzulegen. Das bremst die gewohnte Transparenz und beschränkt den frühen Einblick auf einen kleinen Kreis von Partnern.

Bislang veröffentlichte Google vollständige Schwachstellenberichte zusammen mit den monatlichen Android-Sicherheitsbulletins. So listete die September-Ausgabe 2025 114 erkannte Probleme, während beim Oktober-Update die Beschreibungen vollständig fehlten. Der Unterschied ist kaum zu übersehen.

Aufgefallen ist der Kurswechsel zunächst dem Team von GrapheneOS, einer datenschutzorientierten, unabhängigen Android-Distribution. Das Projekt hält die neue Linie für eine Erschwernis für freie Sicherheitsforscher und Custom-ROM-Entwickler, die auf zeitnahe technische Details angewiesen sind, um schnell reagieren zu können.

Google wiederum erklärt, die vorübergehende Einschränkung solle die Gesamtsicherheit erhöhen, indem Angreifer daran gehindert werden, Patches rasch zu analysieren und Schwachstellen auszunutzen, bevor offizielle Updates eintreffen. Der Konzern beschreibt den Ansatz als eine Sicherheit-durch-Verschleierung-Strategie, die auf das Zurückhalten von Details setzt, bis Korrekturen breit ausgerollt sind.

Um weiterhin zeitnah Updates liefern zu können, hat GrapheneOS bereits eine Partnerschaft mit einem Hersteller geschlossen, der Patches im neuen System direkt von Google erhält. Das ist eine pragmatische Umgehung, macht aber deutlich, dass der Zugang nun stärker an formale Vereinbarungen gebunden ist als an offene Dokumentation. Für das Android-Ökosystem heißt das mehr Koordination hinter verschlossenen Türen und weniger unmittelbare Nachvollziehbarkeit.