Zunächst: Das ist Focus. Mehr muss man dazu eigentlich nicht sagen. Das sind zerrupfte Fakten, die in komischen Zusammenhängen dargestellt werden. Zu den Zahlen. cvedetails schreibt selbst:
All data are taken from XML feeds provided by NVD (National Vulnerability Database) at http://nvd.nist.gov/download.cfm#RSS
und vor allem:
Please Note: CVE data have inconsistencies which affect accuracy of data displayed on www.cvedetails.com. For example a single product might have been defined with several different names. If a product is defined with different names in CVE data then they will be treated as different products by www.cvedetails.com. For example vulnerabilities related to Oracle Database 10g might have been defined for products "Oracle Database", "Oracle Database10g", "Database10g", "Oracle 10g" and similar. Or a PHP vulnerability might have been defined for Fedora Linux 10, so number of vulnerabilities or statistics are only as accurate as CVE data. Please make sure that you manually verify all data before using.
Wenn man also ernsthaften Journalismus betreiben wollen würde, dann müsste man diese Inkonsistenzen für den Fall, den man darstellen will auflösen. Zum Beispiel muss man sich ja nur mal die Top 50 products angucken. Warum hat der Linux Kernel mehr Lücken als Debian, wenn Debian den Linux-Kernel und ca. 40.000 Pakete bereitstellt? Liegt das daran, dass in den alten Kernelversionen von Debian weniger Lücken sind? Dann: Wird Debian mit oder ohne die 40.000 Pakete mit Microsoft verglichen, die Windows immer noch ohne PDF-Reader ausliefern? Werden Firefox-Lücken bei Debian mit aufgeschlagen oder nicht? Debian bietet zwar den Firefox-Fork Icecat an, aber es steht 1. die Frage im Raum, ob überhaupt Pakete einer Distribution zur Gesamtverwundbarkeitszahl hinzugerechnet werden und zweitens, ob registriert werden würde, dass Icecat-Fehler = Firefox-Fehler sind.
Ich könnte damit ewig weitermachen. Das kann man auch recherchieren, aber das mache ich jetzt hier nicht. Ich will nur sagen: Man müsste es tun, um die Zahlen ins Verhältnis zu rücken.
Zweitens: Es ist natürlich richtig, dass der Update-Pfad von Google zu den Handy-Herstellern zu den Endnutzern zu lang ist, aber das ist nicht, wie im Video behauptet, der Grund für die Sicherheitslücken, sondern ein Mangel bei der Beseitigung. Und den anzuprangern ist vollkommen korrekt. Wenn man das weiterdreht, dann kann man zu dem Schluss kommen, dass Sicherheitslücken überall drin sind, und dass es in erster Linie darum geht, wie damit umgegangen wird.
Für Ubuntu jedenfalls bekommst du jeden Tag Sicherheitsupdates, nicht einmal im Monat oder wenn es Google passt oder wenn der Hersteller deines Android-Geräts den Patch auf seine verschlimmbesserte Plattform angepasst hat.