Inmiddels mag duidelijk zijn dat ik een mening heb over alles wat speelt in de ICT, ik heb ook geen voorkeuren voor bepaalde fabrikanten. Apple en Microsoft hebben er recent al van langs gekregen, vandaag is het dan ook de beurt aan Google. Ik begin mij een beetje af te vragen wat er moet gebeuren voordat Google stappen gaat ondernemen om Android echt structureel veiliger te maken. Er worden hele grote beveiligingslekken gevonden in Android, honderden miljoenen toestellen zijn hier gevoelig voor en de patches die Google ontwikkelt worden uiteindelijk slechts op een klein percentage van de apparaten toegepast. De fabrikanten weigeren oudere toestellen te voorzien van updates.

Eerlijk is eerlijk, ik mag de schuld niet volledig bij Google in de schoenen schuiven, dat er in Android (grote) beveiligingslekken worden gevonden is niet te voorkomen. Dat ze vervolgens niet gedicht worden op alle toestellen ligt ook niet direct aan Google, maar aan de fabrikanten van de toestellen. Als we het heel zwart wit bekijken dan voldoet Google aan zijn verplichtingen. Er worden grote beveiligingslekken gevonden, Google brengt redelijk snel updates uit om deze lekken te dichten, maar de fabrikanten die de telefoons en tablets maken moeten vervolgens de updates verwerken in nieuwe firmware voor hun toestellen. Deze firmware-updates moeten door providers worden goedgekeurd om vervolgens verspreid te worden naar de toestellen.

Het probleem zit hoofdzakelijk bij de fabrikanten, die brengen jaarlijks een groot aantal verschillende toestellen op de markt maar weigeren het jaar daarna om de toestellen (tijdig) te voorzien van firmware-updates. Vaak worden alleen de vlaggenschepen voorzien van firmware-updates en alle andere toestellen moeten het geluk hebben dat ze nog een update krijgen. Voor fabrikanten is het verzorgen van updates in veel gevallen een last en kostenpost, zeker voor de goedkopere Android-toestellen. De last is gewoon te groot om alle toestellen tijdig te voorzien van updates, dus moet er iets veranderen.

Google moet Android-updates zelf gaan verzorgen

Ik ben van mening dat Google uiteindelijk eindverantwoordelijk is voor het Android-besturingssysteem. Althans voor de Android-toestellen die door Google zijn gelicenseerd voor de Google Play Store en waar Google allerlei eisen aan durft te stellen. Google hoeft voor mij niet verantwoordelijk gehouden te worden voor alle goedkope Chinese meuk. Het updaten van een toestel duurt nu vaak maanden omdat er drie partijen bij zijn betrokken. Google, de fabrikant van het toestel en de telecomproviders. Apple en Microsoft updaten hun mobiele besturingssystemen zelf zonder tussenkomt van de fabrikant en de telecomprovider en dat is iets wat Google ook moet gaan doen.

Het verschil tussen Android en de concurrentie (iOS en Windows 10 Mobile) is dat Android volledig is aan te passen zodat de fabrikant zichzelf kan onderscheiden. Doordat fabrikanten hun eigen skins en omgevingen bouwen voor Android kan de update niet vanuit Google komen. Google kan dit oplossen door grote structurele wijzigingen te maken in het besturingssysteem, dat gaan de fabrikanten in het begin niet leuk vinden want het vereist ook grote aanpassingen aan hun kant en dus ook investeringen.

Android in stukken hakken

Google moet Android in stukken hakken, iets waar het overigens al mee begonnen is. Google haalt op dit moment bepaalde functionaliteiten uit Android om deze vervolgens in Google Play Services te stoppen, dat is een app die op de achtergrond draait en die Google update via de Google Play Store. Op die manier kan het toch tussentijds updates doorvoeren. Dit gaat echter niet ver genoeg want er worden te vaak beveiligingslekken gevonden in Android-onderdelen die niet in Google Play Services zitten.

Google moet Android in stukken hakken en vervolgens van onder naar boven opbouwen. Van onder naar boven hebben we het dan over de bootloader, gevolgd door de absolute basis van het Android-besturingssysteem welke is ontdaan van alle visuele elementen, dan zal er waarschijnlijk een drivermodel moeten volgen of Google moet zelf een waslijst aan ondersteunde hardware gaan samenstellen en daarvoor ondersteuning inbouwen, tot slot moeten daarboven alle visuele elementen worden toegevoegd door middel van apps. Ik zeg express door middel van apps, zodat deze bijgewerkt kunnen worden vanuit de Google Play Store.

Dat betekent dat dus dat fabrikanten als HTC, Huawei, Samsung, Sony en alle andere hun complete visuele omgevingen in apps moeten stoppen die via de Google Play Store worden aangeboden en bijgewerkt. Dat klinkt onmogelijk maar HTC heeft eigenlijk al bewezen dat dit prima mogelijk is, HTC heeft dit namelijk al gedaan met de camera-applicatie, fotogalerij, HTC Sense launcher etc. Google zal misschien wat extra mogelijkheden moeten creëren om bijvoorbeeld het dropdownmenu met notificaties via een losse app te kunnen laten werken of de Android-instellingen-app, maar daar is wel een oplossing voor te vinden.

Voordelen vs nadelen

Dit is in mijn optiek de oplossing, Google denkt hier mogelijk heel anders over want het zet ook een kleine rem op innovatie. Als fabrikanten de kern van Android niet meer kunnen aanpassen is het lastiger om snel ondersteuning in te bouwen voor bijvoorbeeld vingerafdrukscanners of voor multitasking zoals Samsung doet met TouchWiz. Fabrikanten moeten dan op Google wachten tot dergelijke ondersteuning wordt toegevoegd aan Android. Dat duurt mogelijk langer en het is niet meer uniek want alle Android-concurrenten hebben het dan ook.

De voordelen zijn in mijn optiek echter veel groter, als er beveiligingslekken worden gevonden kan Google een patch ontwikkelen voor Android en die direct verspreiden naar alle toestellen. Het lek zit dan in de basis van het besturingssysteem en die wordt dan exclusief door Google onderhouden. Google hoeft niet meer te wachten op fabrikanten en providers, eigenlijk dus net zoals Apple en Microsoft het doen met hun besturingssystemen. Een ander voordeel is dat fabrikanten hun eigen visuele elementen en apps ook sneller en makkelijker kunnen updaten.

Of Google nog ooit deze stap gaat zetten? Ik heb geen idee maar voorlopig moeten we daar dan weer minimaal een jaar op wachten want Android 6.0 is pas net verschenen.

Vaak zijn er een paar doden nodig om het beleid aan te passen

Google is met Android nu actief op smartphones, tablets, televisies en wearables, volgend jaar komen daar waarschijnlijk auto’s bij. Kwaadwillenden kunnen op dit moment door grote beveiligingslekken te misbruiken al bij onze telefoon- en tabletgegevens, onze sportactiviteiten uitlezen uit de smartwatch en in onze televisie zien welke zenders we kijken. Wellicht kan een hacker over een paar jaar een Android-beveiligingslek misbruiken om een auto van een klif af te rijden? We gaan het vanzelf meemaken, ik denk wel dat Google op dat moment zal investeren in het veiliger maken van Android, als dat nog niet is gebeurd. Vaak zijn er toch een paar doden nodig om het beleid aan te passen. Hopelijk onderneemt Google eerder actie, voordat Android straks op allerlei apparatuur is te vinden die allemaal even lek is.