Abo
  • Services:

Sicherheitspatches: Hersteller von Android-Smartphones gaukeln Sicherheit vor

Einige Hersteller von Android-Smartphones wurden beim Schummeln erwischt. Wie Sicherheitsforscher herausgefunden haben, bedeutet ein aktueller Sicherheitspatch keineswegs, dass das Gerät sicher ist. Mancher Hersteller ändert nur das Patch-Datum ohne Lücken zu schließen.

Artikel veröffentlicht am ,
Trügerische Sicherheit bei Android-Smartphones
Trügerische Sicherheit bei Android-Smartphones (Bild: Jason Kempin/Getty Images for Oreo)

Wer ein Smartphone mit einem aktuellen Patch-Level hat, kann sich nicht darauf verlassen, dass wirklich alle bisher gefundenen Sicherheitslücken beseitigt sind. Entweder können alte Patches fehlen oder der Hersteller verteilt ein funktionsloses Sicherheitsupdate, bei dem nur das Datum aktualisiert wurde, ohne dass neue Lücken beseitigt wurden. Das ergibt eine Untersuchung des deutschen IT-Sicherheitsunternehmens Security Research Labs. Weitere Details liefert ein Artikel von The Wired. Im Laufe des Tages wird es dazu außerdem einen Vortrag auf der Hitbsecconf 2018 in Amsterdam geben.

Stellenmarkt
  1. über duerenhoff GmbH, Nürnberg
  2. Applied Materials GmbH und Co KG, Alzenau

Bisher ist es schon ein Ärgernis gewesen, dass Gerätehersteller den jeweils aktuellen Sicherheitspatch für ihre Kunden erst stark verzögert anbieten. Google stellt Patches für das Android-Betriebssystem im Monatsrhythmus bereit. Jeder Hersteller entscheidet dabei selbst, wann ein Patch veröffentlicht wird. Bei so manchem Hersteller hinken die Geräte bezüglich des Patch-Levels mehrere Monate hinterher.

1.200 Android-Smartphones untersucht

Wie die aktuelle Untersuchung zeigt, können sich Besitzer von Android-Smartphones allerdings nicht darauf verlassen, dass alle Lücken geschlossen sind, die bis zum jeweiligen Patch-Datum beseitigt sein sollten. "Manchmal ändern die Hersteller einfach das Datum, ohne irgendwelche Patches zu installieren. Vermutlich haben sie aus Marketinggründen den Patch-Level auf ein bestimmtes Datum gesetzt, das am besten aussieht", sagte Karsten Nohl von Security Research Labs. Die Sicherheitsforscher haben dazu die Firmware von 1.200 Android-Smartphones von mehr als einem Dutzend Herstellern überprüft.

In anderen Fällen wurden einfach Sicherheitspatches übersprungen und die damit eigentlich zu beseitigenden Fehler wurden nicht korrigiert. Dem Anwender wird das Gefühl vermittelt, sein Gerät sei abgesichert, auch wenn das gar nicht der Fall ist.

Die Sicherheitsforscher von Security Research Labs betonen, dass die aktuellen Erkenntnisse nicht unbedingt bedeuten müssen, dass Geräte besonders anfällig für Angriffe sind. Allerdings ist das Sicherheitsniveau entsprechend verringert, wenn Sicherheitslücken nicht geschlossen sind.

Android ist an sich gut gegen Angriff geschützt

Moderne Betriebssysteme nutzen verschiedene Sicherheitsbarrieren, wie etwa ASLR oder Sandboxing. Diese müssen erst einmal umgangen werden, um ein Smartphone aus der Ferne hacken zu können. Aufgrund der Komplexität solcher Angriffe reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Fehler miteinander verzahnt ausgenutzt werden.

  • Legende: Tabelle zeigt Durchschnitt der fehlenden Critical- und High-Severity-Patches. Samples - Few: 5 bis 9; Many: 10 bis 49; Lots: mehr als 50. Nicht alle Patch-Tests sind immer aussagekräftig - die tatsächliche Anzahl fehlender Patches kann höher sein. Nicht alle Patches sind in unseren Tests enthalten, so dass die tatsächliche Anzahl noch höher sein kann. (Bild: Security Research Labs)
Legende: Tabelle zeigt Durchschnitt der fehlenden Critical- und High-Severity-Patches. Samples - Few: 5 bis 9; Many: 10 bis 49; Lots: mehr als 50. Nicht alle Patch-Tests sind immer aussagekräftig - die tatsächliche Anzahl fehlender Patches kann höher sein. Nicht alle Patches sind in unseren Tests enthalten, so dass die tatsächliche Anzahl noch höher sein kann. (Bild: Security Research Labs)

Security Research Labs hat in einer Grafik aufgeschlüsselt, welche Gerätehersteller in welcher Häufigkeit beim Schummeln erwischt wurden. Oft hänge es vom jeweiligen Gerät ab, ob ein Hersteller korrekte Angaben mache. Die Untersuchung hat etwa ergeben, dass Samsung beim Galaxy J5 von 2016 korrekt angibt, welche Patches installiert sind und welche noch fehlen. Beim Galaxy J3 von 2016 ist es ganz anders. Hier fehlen 12 Updates, obwohl der Hersteller anderes angibt.

Die Anwender können mit der aktuellen Version der Android-App Snoop Snitch überprüfen, ob alle Sicherheitspatches auf dem Android-Gerät installiert wurden.

Smartphones mit Mediatek-Prozessor eher betroffen

Ein Indiz für die Menge fehlender Patches ist der Prozessorhersteller. Denn abhängig davon erhöht sich das Risiko, dass Sicherheitspatches überprungen wurden. Besonders viele fehlen bei Smartphones mit Mediatek-Prozssoren. Das kann zum einen damit zu tun haben, dass die Prozessoren eher in preisgünstigen Geräten verwendet werden, die weniger intensiv aktualisiert werden.

Ein anderer Grund ist, dass manche Sicherheitslücken im Prozessor selbst stecken und der Gerätehersteller darauf angewiesen ist, dass der Prozessorhersteller Patches anbietet. Hier ist Mediatek oft dabei, wenn es darum geht, dass diese nicht bereitgestellt werden. Deutlich besser schneiden Geräte mit Qualcomm-, Samsung- oder Huawei-Prozessor bei der Patch-Versorgung ab, wobei die Geräte mit Samsung-Prozessor besonders gute Werte erzielen.

Google hat bereits auf die Untersuchungsergebnisse reagiert und weist darauf hin, dass einige der getesteten Geräte nicht von Google zertifiziert seien. Manchmal fehle ein Patch deshalb, weil der Gerätehersteller sich entschieden habe, die betreffende Funktion nicht zu unterstützen oder ganz abzuschalten, anstatt einen Patch bereitzustellen. Dies betreffe nach Aussage von Nohl aber nur eine geringe Zahl der untersuchten Geräte. Google wolle die Ergebnisse in jedem Fall mit Security Research Labs durchgehen.



Anzeige
Hardware-Angebote
  1. 120,84€ + Versand
  2. 249,90€ + Versand (im Preisvergleich über 280€)
  3. (reduzierte Überstände, Restposten & Co.)

Proctrap 15. Apr 2018 / Themenstart

vielen Dank für die Infos ich gucke nur ab & zu in die commits & war bei stagefright...

M.P. 14. Apr 2018 / Themenstart

Es scheint ja immer nur um sehr wenige Patches zu gehen, die nicht mitgeliefert wurden...

/mecki78 13. Apr 2018 / Themenstart

Hängt davon ab, was du wissen willst. Wenn du wissen willst ob du als Nutzer konkret...

486dx4-160 13. Apr 2018 / Themenstart

Meinst du das ernst? Du hättest auch kein Problem damit, wenn dein Computerhersteller...

jsm 13. Apr 2018 / Themenstart

"Manchmal fehle ein Patch deshalb, weil der Gerätehersteller sich entschieden habe, die...

Kommentieren


Folgen Sie uns
       


Hyundai Ioniq - Test

Wir sind den elektrisch angetriebenen Hyundai Ioniq ausgiebig Probe gefahren.

Hyundai Ioniq - Test Video aufrufen
Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

    •  /