Sicherheitspatches: Hersteller von Android-Smartphones gaukeln Sicherheit vor

Einige Hersteller von Android-Smartphones wurden beim Schummeln erwischt. Wie Sicherheitsforscher herausgefunden haben, bedeutet ein aktueller Sicherheitspatch keineswegs, dass das Gerät sicher ist. Mancher Hersteller ändert nur das Patch-Datum ohne Lücken zu schließen.

Artikel veröffentlicht am ,
Trügerische Sicherheit bei Android-Smartphones
Trügerische Sicherheit bei Android-Smartphones (Bild: Jason Kempin/Getty Images for Oreo)

Wer ein Smartphone mit einem aktuellen Patch-Level hat, kann sich nicht darauf verlassen, dass wirklich alle bisher gefundenen Sicherheitslücken beseitigt sind. Entweder können alte Patches fehlen oder der Hersteller verteilt ein funktionsloses Sicherheitsupdate, bei dem nur das Datum aktualisiert wurde, ohne dass neue Lücken beseitigt wurden. Das ergibt eine Untersuchung des deutschen IT-Sicherheitsunternehmens Security Research Labs. Weitere Details liefert ein Artikel von The Wired. Im Laufe des Tages wird es dazu außerdem einen Vortrag auf der Hitbsecconf 2018 in Amsterdam geben.

Stellenmarkt
  1. Prozess- und Projektmanager (m/w/d)
    Radeberger Gruppe KG, Frankfurt am Main
  2. Senior Solution Architect (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main
Detailsuche

Bisher ist es schon ein Ärgernis gewesen, dass Gerätehersteller den jeweils aktuellen Sicherheitspatch für ihre Kunden erst stark verzögert anbieten. Google stellt Patches für das Android-Betriebssystem im Monatsrhythmus bereit. Jeder Hersteller entscheidet dabei selbst, wann ein Patch veröffentlicht wird. Bei so manchem Hersteller hinken die Geräte bezüglich des Patch-Levels mehrere Monate hinterher.

1.200 Android-Smartphones untersucht

Wie die aktuelle Untersuchung zeigt, können sich Besitzer von Android-Smartphones allerdings nicht darauf verlassen, dass alle Lücken geschlossen sind, die bis zum jeweiligen Patch-Datum beseitigt sein sollten. "Manchmal ändern die Hersteller einfach das Datum, ohne irgendwelche Patches zu installieren. Vermutlich haben sie aus Marketinggründen den Patch-Level auf ein bestimmtes Datum gesetzt, das am besten aussieht", sagte Karsten Nohl von Security Research Labs. Die Sicherheitsforscher haben dazu die Firmware von 1.200 Android-Smartphones von mehr als einem Dutzend Herstellern überprüft.

In anderen Fällen wurden einfach Sicherheitspatches übersprungen und die damit eigentlich zu beseitigenden Fehler wurden nicht korrigiert. Dem Anwender wird das Gefühl vermittelt, sein Gerät sei abgesichert, auch wenn das gar nicht der Fall ist.

Golem Akademie
  1. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
Weitere IT-Trainings

Die Sicherheitsforscher von Security Research Labs betonen, dass die aktuellen Erkenntnisse nicht unbedingt bedeuten müssen, dass Geräte besonders anfällig für Angriffe sind. Allerdings ist das Sicherheitsniveau entsprechend verringert, wenn Sicherheitslücken nicht geschlossen sind.

Android ist an sich gut gegen Angriff geschützt

Moderne Betriebssysteme nutzen verschiedene Sicherheitsbarrieren, wie etwa ASLR oder Sandboxing. Diese müssen erst einmal umgangen werden, um ein Smartphone aus der Ferne hacken zu können. Aufgrund der Komplexität solcher Angriffe reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Fehler miteinander verzahnt ausgenutzt werden.

  • Legende: Tabelle zeigt Durchschnitt der fehlenden Critical- und High-Severity-Patches. Samples - Few: 5 bis 9; Many: 10 bis 49; Lots: mehr als 50. Nicht alle Patch-Tests sind immer aussagekräftig - die tatsächliche Anzahl fehlender Patches kann höher sein. Nicht alle Patches sind in unseren Tests enthalten, so dass die tatsächliche Anzahl noch höher sein kann. (Bild: Security Research Labs)
Legende: Tabelle zeigt Durchschnitt der fehlenden Critical- und High-Severity-Patches. Samples - Few: 5 bis 9; Many: 10 bis 49; Lots: mehr als 50. Nicht alle Patch-Tests sind immer aussagekräftig - die tatsächliche Anzahl fehlender Patches kann höher sein. Nicht alle Patches sind in unseren Tests enthalten, so dass die tatsächliche Anzahl noch höher sein kann. (Bild: Security Research Labs)

Security Research Labs hat in einer Grafik aufgeschlüsselt, welche Gerätehersteller in welcher Häufigkeit beim Schummeln erwischt wurden. Oft hänge es vom jeweiligen Gerät ab, ob ein Hersteller korrekte Angaben mache. Die Untersuchung hat etwa ergeben, dass Samsung beim Galaxy J5 von 2016 korrekt angibt, welche Patches installiert sind und welche noch fehlen. Beim Galaxy J3 von 2016 ist es ganz anders. Hier fehlen 12 Updates, obwohl der Hersteller anderes angibt.

Die Anwender können mit der aktuellen Version der Android-App Snoopsnitch überprüfen, ob alle Sicherheitspatches auf dem Android-Gerät installiert wurden.

Smartphones mit Mediatek-Prozessor eher betroffen

Ein Indiz für die Menge fehlender Patches ist der Prozessorhersteller. Denn abhängig davon erhöht sich das Risiko, dass Sicherheitspatches überprungen wurden. Besonders viele fehlen bei Smartphones mit Mediatek-Prozssoren. Das kann zum einen damit zu tun haben, dass die Prozessoren eher in preisgünstigen Geräten verwendet werden, die weniger intensiv aktualisiert werden.

Ein anderer Grund ist, dass manche Sicherheitslücken im Prozessor selbst stecken und der Gerätehersteller darauf angewiesen ist, dass der Prozessorhersteller Patches anbietet. Hier ist Mediatek oft dabei, wenn es darum geht, dass diese nicht bereitgestellt werden. Deutlich besser schneiden Geräte mit Qualcomm-, Samsung- oder Huawei-Prozessor bei der Patch-Versorgung ab, wobei die Geräte mit Samsung-Prozessor besonders gute Werte erzielen.

Google hat bereits auf die Untersuchungsergebnisse reagiert und weist darauf hin, dass einige der getesteten Geräte nicht von Google zertifiziert seien. Manchmal fehle ein Patch deshalb, weil der Gerätehersteller sich entschieden habe, die betreffende Funktion nicht zu unterstützen oder ganz abzuschalten, anstatt einen Patch bereitzustellen. Dies betreffe nach Aussage von Nohl aber nur eine geringe Zahl der untersuchten Geräte. Google wolle die Ergebnisse in jedem Fall mit Security Research Labs durchgehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Apfelbrot 17. Mai 2018

Durchschnittswert = Mittelwert

Proctrap 15. Apr 2018

vielen Dank für die Infos ich gucke nur ab & zu in die commits & war bei stagefright...

M.P. 14. Apr 2018

Es scheint ja immer nur um sehr wenige Patches zu gehen, die nicht mitgeliefert wurden...

486dx4-160 13. Apr 2018

Meinst du das ernst? Du hättest auch kein Problem damit, wenn dein Computerhersteller...

jsm 13. Apr 2018

"Manchmal fehle ein Patch deshalb, weil der Gerätehersteller sich entschieden habe, die...



Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  2. Fusionsgespräche: Orange und Vodafone wollten zusammengehen
    Fusionsgespräche
    Orange und Vodafone wollten zusammengehen

    Die führenden Netzbetreiber in Europa wollen immer wieder eine Fusion. Auch aus den letzten Verhandlungen wurde jedoch bisher nichts.

  3. Spielfilm: Matrix trifft Unreal Engine 5
    Spielfilm
    Matrix trifft Unreal Engine 5

    Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
    •  /