Abo
  • Services:

Sicherheitspatches: Hersteller von Android-Smartphones gaukeln Sicherheit vor

Einige Hersteller von Android-Smartphones wurden beim Schummeln erwischt. Wie Sicherheitsforscher herausgefunden haben, bedeutet ein aktueller Sicherheitspatch keineswegs, dass das Gerät sicher ist. Mancher Hersteller ändert nur das Patch-Datum ohne Lücken zu schließen.

Artikel veröffentlicht am ,
Trügerische Sicherheit bei Android-Smartphones
Trügerische Sicherheit bei Android-Smartphones (Bild: Jason Kempin/Getty Images for Oreo)

Wer ein Smartphone mit einem aktuellen Patch-Level hat, kann sich nicht darauf verlassen, dass wirklich alle bisher gefundenen Sicherheitslücken beseitigt sind. Entweder können alte Patches fehlen oder der Hersteller verteilt ein funktionsloses Sicherheitsupdate, bei dem nur das Datum aktualisiert wurde, ohne dass neue Lücken beseitigt wurden. Das ergibt eine Untersuchung des deutschen IT-Sicherheitsunternehmens Security Research Labs. Weitere Details liefert ein Artikel von The Wired. Im Laufe des Tages wird es dazu außerdem einen Vortrag auf der Hitbsecconf 2018 in Amsterdam geben.

Stellenmarkt
  1. Bosch Gruppe, Waiblingen
  2. Bosch Gruppe, Stuttgart-Feuerbach

Bisher ist es schon ein Ärgernis gewesen, dass Gerätehersteller den jeweils aktuellen Sicherheitspatch für ihre Kunden erst stark verzögert anbieten. Google stellt Patches für das Android-Betriebssystem im Monatsrhythmus bereit. Jeder Hersteller entscheidet dabei selbst, wann ein Patch veröffentlicht wird. Bei so manchem Hersteller hinken die Geräte bezüglich des Patch-Levels mehrere Monate hinterher.

1.200 Android-Smartphones untersucht

Wie die aktuelle Untersuchung zeigt, können sich Besitzer von Android-Smartphones allerdings nicht darauf verlassen, dass alle Lücken geschlossen sind, die bis zum jeweiligen Patch-Datum beseitigt sein sollten. "Manchmal ändern die Hersteller einfach das Datum, ohne irgendwelche Patches zu installieren. Vermutlich haben sie aus Marketinggründen den Patch-Level auf ein bestimmtes Datum gesetzt, das am besten aussieht", sagte Karsten Nohl von Security Research Labs. Die Sicherheitsforscher haben dazu die Firmware von 1.200 Android-Smartphones von mehr als einem Dutzend Herstellern überprüft.

In anderen Fällen wurden einfach Sicherheitspatches übersprungen und die damit eigentlich zu beseitigenden Fehler wurden nicht korrigiert. Dem Anwender wird das Gefühl vermittelt, sein Gerät sei abgesichert, auch wenn das gar nicht der Fall ist.

Die Sicherheitsforscher von Security Research Labs betonen, dass die aktuellen Erkenntnisse nicht unbedingt bedeuten müssen, dass Geräte besonders anfällig für Angriffe sind. Allerdings ist das Sicherheitsniveau entsprechend verringert, wenn Sicherheitslücken nicht geschlossen sind.

Android ist an sich gut gegen Angriff geschützt

Moderne Betriebssysteme nutzen verschiedene Sicherheitsbarrieren, wie etwa ASLR oder Sandboxing. Diese müssen erst einmal umgangen werden, um ein Smartphone aus der Ferne hacken zu können. Aufgrund der Komplexität solcher Angriffe reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Fehler miteinander verzahnt ausgenutzt werden.

  • Legende: Tabelle zeigt Durchschnitt der fehlenden Critical- und High-Severity-Patches. Samples - Few: 5 bis 9; Many: 10 bis 49; Lots: mehr als 50. Nicht alle Patch-Tests sind immer aussagekräftig - die tatsächliche Anzahl fehlender Patches kann höher sein. Nicht alle Patches sind in unseren Tests enthalten, so dass die tatsächliche Anzahl noch höher sein kann. (Bild: Security Research Labs)
Legende: Tabelle zeigt Durchschnitt der fehlenden Critical- und High-Severity-Patches. Samples - Few: 5 bis 9; Many: 10 bis 49; Lots: mehr als 50. Nicht alle Patch-Tests sind immer aussagekräftig - die tatsächliche Anzahl fehlender Patches kann höher sein. Nicht alle Patches sind in unseren Tests enthalten, so dass die tatsächliche Anzahl noch höher sein kann. (Bild: Security Research Labs)

Security Research Labs hat in einer Grafik aufgeschlüsselt, welche Gerätehersteller in welcher Häufigkeit beim Schummeln erwischt wurden. Oft hänge es vom jeweiligen Gerät ab, ob ein Hersteller korrekte Angaben mache. Die Untersuchung hat etwa ergeben, dass Samsung beim Galaxy J5 von 2016 korrekt angibt, welche Patches installiert sind und welche noch fehlen. Beim Galaxy J3 von 2016 ist es ganz anders. Hier fehlen 12 Updates, obwohl der Hersteller anderes angibt.

Die Anwender können mit der aktuellen Version der Android-App Snoop Snitch überprüfen, ob alle Sicherheitspatches auf dem Android-Gerät installiert wurden.

Smartphones mit Mediatek-Prozessor eher betroffen

Ein Indiz für die Menge fehlender Patches ist der Prozessorhersteller. Denn abhängig davon erhöht sich das Risiko, dass Sicherheitspatches überprungen wurden. Besonders viele fehlen bei Smartphones mit Mediatek-Prozssoren. Das kann zum einen damit zu tun haben, dass die Prozessoren eher in preisgünstigen Geräten verwendet werden, die weniger intensiv aktualisiert werden.

Ein anderer Grund ist, dass manche Sicherheitslücken im Prozessor selbst stecken und der Gerätehersteller darauf angewiesen ist, dass der Prozessorhersteller Patches anbietet. Hier ist Mediatek oft dabei, wenn es darum geht, dass diese nicht bereitgestellt werden. Deutlich besser schneiden Geräte mit Qualcomm-, Samsung- oder Huawei-Prozessor bei der Patch-Versorgung ab, wobei die Geräte mit Samsung-Prozessor besonders gute Werte erzielen.

Google hat bereits auf die Untersuchungsergebnisse reagiert und weist darauf hin, dass einige der getesteten Geräte nicht von Google zertifiziert seien. Manchmal fehle ein Patch deshalb, weil der Gerätehersteller sich entschieden habe, die betreffende Funktion nicht zu unterstützen oder ganz abzuschalten, anstatt einen Patch bereitzustellen. Dies betreffe nach Aussage von Nohl aber nur eine geringe Zahl der untersuchten Geräte. Google wolle die Ergebnisse in jedem Fall mit Security Research Labs durchgehen.



Anzeige
Top-Angebote
  1. 9,99€
  2. 35,99€
  3. 47,67€ (Bestpreis!)
  4. (-73%) 7,99€

Apfelbrot 17. Mai 2018

Durchschnittswert = Mittelwert

Proctrap 15. Apr 2018

vielen Dank für die Infos ich gucke nur ab & zu in die commits & war bei stagefright...

M.P. 14. Apr 2018

Es scheint ja immer nur um sehr wenige Patches zu gehen, die nicht mitgeliefert wurden...

486dx4-160 13. Apr 2018

Meinst du das ernst? Du hättest auch kein Problem damit, wenn dein Computerhersteller...

jsm 13. Apr 2018

"Manchmal fehle ein Patch deshalb, weil der Gerätehersteller sich entschieden habe, die...


Folgen Sie uns
       


Death's Gambit und Dead Cells - Golem.de Live

Zwei Spiele, die extrem ähnlich aussehen, sich aber grundlegend anders spielen. Wir schauen das 2D-Dark-Souls Death's Gambit sowie das Metroidvania auf Speed Dead Cells bei #GolemLive an.

Death's Gambit und Dead Cells - Golem.de Live Video aufrufen
IT-Jobs: Achtung! Agiler Coach gesucht?
IT-Jobs
Achtung! Agiler Coach gesucht?

Überall werden sie gesucht, um den digitalen Wandel voranzutreiben: agile Coaches. In den Jobbeschreibungen warten spannende Aufgaben, jedoch müssen Bewerber aufpassen, dass sie die richtigen Fragen stellen, wenn sie etwas bewegen möchten.
Von Marvin Engel

  1. Studitemps Einige Studierende verdienen in der IT unter Mindestlohn
  2. SAP-Berater Der coolste Job nach Tourismusmanager und Bierbrauer
  3. Digital Office Index 2018 Jeder zweite Beschäftigte sitzt am Computer

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet
  2. Parker Solar Probe Nasa verschiebt Start seiner Sonnen-Sonde
  3. Raumfahrt Die neuen Astronauten für SpaceX und Boeing

Stromversorgung: Das Märchen vom Blackout durch Elektroautos
Stromversorgung
Das Märchen vom Blackout durch Elektroautos

Die massenhafte Verbreitung von Elektroautos stellt das Stromnetz vor neue Herausforderungen. Doch verschiedenen Untersuchungen zufolge sind diese längst nicht so gravierend, wie von Kritikern befürchtet.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität iEV X ist ein Ausziehelektroauto
  2. Elektroautos Bundesrechnungshof hält Kaufprämie für unwirksam
  3. Ladekabel Startup Ubitricity gewinnt Klimaschutzpreis in New York

    •  /