CalyxOS-Update-Stopp: Privacy-Android legt Sicherheitsupdates für bis zu sechs Monate auf Eis nach Abgang zweier Schlüsselfiguren.
Das CalyxOS-Team hat offiziell einen Update-Stopp angekündigt. In den kommenden vier bis sechs Monaten liefern sie keine Updates mehr aus, weder Bugfixes noch Sicherheitspatches. Auslöser dafür ist der Abgang von Nicholas Merrill, Gründer und Präsident des Calyx Institute, sowie Chirayu Desai, dem technischen Leiter. Mit dem Verlust dieser beiden Schlüsselfiguren verliert das Projekt nicht nur Know-how, sondern auch die Kontrolle über zentrale Sicherheitsprozesse. Gemeint ist insbesondere die Verwaltung der Signaturschlüssel, die für Integrität und Vertrauenswürdigkeit des Systems entscheidend sind.
In einem offiziellen Blogpost erklärte das verbliebene Team, man müsse sich „neu aufstellen“ und die „technische Infrastruktur modernisieren, um das angestrebte Sicherheitsniveau zu erreichen“. Chirayu Desai schrieb zu seinem Abschied in einem Reddit-Post mit dem Titel „A Personal Note“:
„Android verändert sich und daher dachte ich, dass ich auch einige Änderungen vornehmen sollte.“
CalyxOS: Sicherheitslücken statt Patches
In der Übergangszeit will CalyxOS neue Signaturschlüssel einführen und den gesamten Signierungs- und Verifizierungsprozess neu aufsetzen. Bis dahin erhalten Nutzer keine Sicherheitsupdates, weder vom Android Open Source Project noch von den Geräteherstellern.
Das Team empfiehlt selbst, vorübergehend zu einer anderen Android-Distribution zu wechseln, etwa zu GrapheneOS oder LineageOS, um den Schutz vor aktuellen Bedrohungen zu gewährleisten. Wer dennoch bleiben möchte, muss nach der Pause eine komplette Neuinstallation durchführen, um wieder Updates zu erhalten. Für alle, die migrieren wollen, hat man aktualisierte Seedvault-Anleitungen veröffentlicht, inklusive Schritten zur Wiederherstellung des Werkszustands.
Vorsichtsmaßnahmen & Community-Einfluss
In einer Aktualisierung vom 5. August 2025 versicherte das CalyxOS-Team, dass es keine Hinweise auf eine Kompromittierung der Signaturschlüssel gibt. Die laufende Schlüsselrotation und das geplante Sicherheits-Audit seien reine Vorsichtsmaßnahmen nach dem Führungswechsel.
Neu ist, dass das Audit diesmal das gesamte Projekt umfassen soll und nicht nur einzelne Komponenten wie das Seedvault-Backup-Tool. Die Ergebnisse will das Team nach Abschluss öffentlich zugänglich machen.
Aufgrund zahlreicher Anfragen aus der Community wurden die CalyxOS-Images wieder veröffentlicht. Das Team betont jedoch, dass dies keine Empfehlung zur Nutzung in der aktuellen Phase ist, da bis zur Implementierung neuer Sicherheitsprotokolle weiterhin der Update-Stopp gilt. Ursprünglich wollte man bis zum Abschluss der Umstrukturierung keine CalyxOS-Downloads für Neueinsteiger mehr anbieten.
🌞 Surfen und Herunterladen ohne Risiko und ohne Qubic Mining!
Das beste No-Logs-VPN mit 27 Monaten Datenschutz.
Jetzt für nur 2,59 €/netto mtl. – anonym, sicher & ohne Unterbrechung surfen, via P2P downloaden und vieles mehr. Inklusive 3 Monate umsonst!
Preisgarantie: Gleicher Preis & Laufzeit bei jeder Verlängerung.
* Affiliate-Link – du unterstützt unsere Arbeit, der Preis bleibt für dich gleich.
Offene Wunde im Open-Source-Kosmos
Der CalyxOS-Update-Stopp zeigt erneut als zentrales Problem vieler Open-Source-Projekte die Abhängigkeit von wenigen Schlüsselpersonen. Fällt ihr Engagement weg, gerät die Weiterentwicklung ins Stocken – mit direkten Auswirkungen auf Sicherheit und Vertrauen. Für ein Projekt, das sich Privatsphäre und Schutz auf die Fahnen geschrieben hat, ist diese monatelange Sicherheitslücke besonders heikel.
Fazit: Datenschutz ohne Updates ist wertlos
Der CalyxOS-Update-Stopp erweist sich als ein herber Rückschlag für die Privacy-Community. Auch wenn es aktuell keine Hinweise auf kompromittierte Schlüssel gibt, bleibt die Situation riskant. Denn ohne Patches ist kein sicheres Android möglich. Wer seine Geräte wirklich schützen will, sollte jetzt handeln und auf ein aktives, gut besetztes Projekt umsteigen. Andernfalls wird aus „Google-frei“ schnell „schutzlos“.
(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.