Abo
  • Services:

Sicherheitspatches: Hersteller von Android-Smartphones gaukeln Sicherheit vor

Einige Hersteller von Android-Smartphones wurden beim Schummeln erwischt. Wie Sicherheitsforscher herausgefunden haben, bedeutet ein aktueller Sicherheitspatch keineswegs, dass das Gerät sicher ist. Mancher Hersteller ändert nur das Patch-Datum ohne Lücken zu schließen.

Artikel veröffentlicht am ,
Trügerische Sicherheit bei Android-Smartphones
Trügerische Sicherheit bei Android-Smartphones (Bild: Jason Kempin/Getty Images for Oreo)

Wer ein Smartphone mit einem aktuellen Patch-Level hat, kann sich nicht darauf verlassen, dass wirklich alle bisher gefundenen Sicherheitslücken beseitigt sind. Entweder können alte Patches fehlen oder der Hersteller verteilt ein funktionsloses Sicherheitsupdate, bei dem nur das Datum aktualisiert wurde, ohne dass neue Lücken beseitigt wurden. Das ergibt eine Untersuchung des deutschen IT-Sicherheitsunternehmens Security Research Labs. Weitere Details liefert ein Artikel von The Wired. Im Laufe des Tages wird es dazu außerdem einen Vortrag auf der Hitbsecconf 2018 in Amsterdam geben.

Stellenmarkt
  1. CSL Behring GmbH, Marburg, Hattersheim am Main
  2. Robert Bosch GmbH, Stuttgart

Bisher ist es schon ein Ärgernis gewesen, dass Gerätehersteller den jeweils aktuellen Sicherheitspatch für ihre Kunden erst stark verzögert anbieten. Google stellt Patches für das Android-Betriebssystem im Monatsrhythmus bereit. Jeder Hersteller entscheidet dabei selbst, wann ein Patch veröffentlicht wird. Bei so manchem Hersteller hinken die Geräte bezüglich des Patch-Levels mehrere Monate hinterher.

1.200 Android-Smartphones untersucht

Wie die aktuelle Untersuchung zeigt, können sich Besitzer von Android-Smartphones allerdings nicht darauf verlassen, dass alle Lücken geschlossen sind, die bis zum jeweiligen Patch-Datum beseitigt sein sollten. "Manchmal ändern die Hersteller einfach das Datum, ohne irgendwelche Patches zu installieren. Vermutlich haben sie aus Marketinggründen den Patch-Level auf ein bestimmtes Datum gesetzt, das am besten aussieht", sagte Karsten Nohl von Security Research Labs. Die Sicherheitsforscher haben dazu die Firmware von 1.200 Android-Smartphones von mehr als einem Dutzend Herstellern überprüft.

In anderen Fällen wurden einfach Sicherheitspatches übersprungen und die damit eigentlich zu beseitigenden Fehler wurden nicht korrigiert. Dem Anwender wird das Gefühl vermittelt, sein Gerät sei abgesichert, auch wenn das gar nicht der Fall ist.

Die Sicherheitsforscher von Security Research Labs betonen, dass die aktuellen Erkenntnisse nicht unbedingt bedeuten müssen, dass Geräte besonders anfällig für Angriffe sind. Allerdings ist das Sicherheitsniveau entsprechend verringert, wenn Sicherheitslücken nicht geschlossen sind.

Android ist an sich gut gegen Angriff geschützt

Moderne Betriebssysteme nutzen verschiedene Sicherheitsbarrieren, wie etwa ASLR oder Sandboxing. Diese müssen erst einmal umgangen werden, um ein Smartphone aus der Ferne hacken zu können. Aufgrund der Komplexität solcher Angriffe reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Fehler miteinander verzahnt ausgenutzt werden.

  • Legende: Tabelle zeigt Durchschnitt der fehlenden Critical- und High-Severity-Patches. Samples - Few: 5 bis 9; Many: 10 bis 49; Lots: mehr als 50. Nicht alle Patch-Tests sind immer aussagekräftig - die tatsächliche Anzahl fehlender Patches kann höher sein. Nicht alle Patches sind in unseren Tests enthalten, so dass die tatsächliche Anzahl noch höher sein kann. (Bild: Security Research Labs)
Legende: Tabelle zeigt Durchschnitt der fehlenden Critical- und High-Severity-Patches. Samples - Few: 5 bis 9; Many: 10 bis 49; Lots: mehr als 50. Nicht alle Patch-Tests sind immer aussagekräftig - die tatsächliche Anzahl fehlender Patches kann höher sein. Nicht alle Patches sind in unseren Tests enthalten, so dass die tatsächliche Anzahl noch höher sein kann. (Bild: Security Research Labs)

Security Research Labs hat in einer Grafik aufgeschlüsselt, welche Gerätehersteller in welcher Häufigkeit beim Schummeln erwischt wurden. Oft hänge es vom jeweiligen Gerät ab, ob ein Hersteller korrekte Angaben mache. Die Untersuchung hat etwa ergeben, dass Samsung beim Galaxy J5 von 2016 korrekt angibt, welche Patches installiert sind und welche noch fehlen. Beim Galaxy J3 von 2016 ist es ganz anders. Hier fehlen 12 Updates, obwohl der Hersteller anderes angibt.

Die Anwender können mit der aktuellen Version der Android-App Snoop Snitch überprüfen, ob alle Sicherheitspatches auf dem Android-Gerät installiert wurden.

Smartphones mit Mediatek-Prozessor eher betroffen

Ein Indiz für die Menge fehlender Patches ist der Prozessorhersteller. Denn abhängig davon erhöht sich das Risiko, dass Sicherheitspatches überprungen wurden. Besonders viele fehlen bei Smartphones mit Mediatek-Prozssoren. Das kann zum einen damit zu tun haben, dass die Prozessoren eher in preisgünstigen Geräten verwendet werden, die weniger intensiv aktualisiert werden.

Ein anderer Grund ist, dass manche Sicherheitslücken im Prozessor selbst stecken und der Gerätehersteller darauf angewiesen ist, dass der Prozessorhersteller Patches anbietet. Hier ist Mediatek oft dabei, wenn es darum geht, dass diese nicht bereitgestellt werden. Deutlich besser schneiden Geräte mit Qualcomm-, Samsung- oder Huawei-Prozessor bei der Patch-Versorgung ab, wobei die Geräte mit Samsung-Prozessor besonders gute Werte erzielen.

Google hat bereits auf die Untersuchungsergebnisse reagiert und weist darauf hin, dass einige der getesteten Geräte nicht von Google zertifiziert seien. Manchmal fehle ein Patch deshalb, weil der Gerätehersteller sich entschieden habe, die betreffende Funktion nicht zu unterstützen oder ganz abzuschalten, anstatt einen Patch bereitzustellen. Dies betreffe nach Aussage von Nohl aber nur eine geringe Zahl der untersuchten Geräte. Google wolle die Ergebnisse in jedem Fall mit Security Research Labs durchgehen.



Anzeige
Top-Angebote
  1. (nur für Prime-Mitglieder)
  2. 19€ für Prime-Mitglieder
  3. (u. a. HP 27xq WQHD-Monitor mit 144 Hz für 285€ + Versand - Bestpreis!)
  4. 288€

Apfelbrot 17. Mai 2018

Durchschnittswert = Mittelwert

Proctrap 15. Apr 2018

vielen Dank für die Infos ich gucke nur ab & zu in die commits & war bei stagefright...

M.P. 14. Apr 2018

Es scheint ja immer nur um sehr wenige Patches zu gehen, die nicht mitgeliefert wurden...

486dx4-160 13. Apr 2018

Meinst du das ernst? Du hättest auch kein Problem damit, wenn dein Computerhersteller...

jsm 13. Apr 2018

"Manchmal fehle ein Patch deshalb, weil der Gerätehersteller sich entschieden habe, die...


Folgen Sie uns
       


Commodore CDTV (1991) - Golem retro_

Das CDTV wurde in den frühen 1990er Jahren von Commodore als High-End-Multimediasystem auf den Markt gebracht. Wir beleuchten die Hintergründe seines Scheiterns und spielen Exklusivtitel.

Commodore CDTV (1991) - Golem retro_ Video aufrufen
Geforce RTX 2060 im Test: Gute Karte zum gutem Preis mit Speicher-Aber
Geforce RTX 2060 im Test
Gute Karte zum gutem Preis mit Speicher-Aber

Mit der Geforce RTX 2060 hat Nvidia die bisher günstigste Grafikkarte mit Turing-Architektur veröffentlicht. Für 370 Euro erhalten Spieler genug Leistung für 1080p oder 1440p und sogar für Raytracing, bei vollen Schatten- oder Textur-Details wird es aber in seltenen Fällen ruckelig.
Ein Test von Marc Sauter

  1. Grafikkarte Geforce GTX 1660 Ti soll 1.536 Shader haben
  2. Geforce RTX 2060 Founder's Edition kostet 370 Euro
  3. Turing-Architektur Nvidia stellt schnelle Geforce RTX für Notebooks vor

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  2. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant
  3. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show

Schwerlastverkehr: Oberleitung - aber richtig!
Schwerlastverkehr
Oberleitung - aber richtig!

Der Schwerlast- und Lieferverkehr soll stärker elektrifiziert werden. Dafür sollen kilometerweise Oberleitungen entstehen. Dass Geld auf diese Weise in LKW statt in die Bahn zu stecken, ist aber völlig irrsinnig!
Ein IMHO von Sebastian Grüner

  1. Softwarefehler Lime-Tretroller werfen Fahrer ab
  2. Hyundai Das Elektroauto soll automatisiert parken und laden
  3. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren

    •  /