Android: Update Schummelei Auf Smartphones

Manche Hersteller von Android-Smartphones schummeln bei Sicherheits-Updates: Teilweise lassen sie vorangegangene Google-Patches aus oder ändern nur das Patch-Datum. Ein aktuelles Patch-Level ist so keine Garantie auf aktuelle Software auf dem Smartphone.

Bislang ist es bei vielen Smartphone-Herstellern noch immer eine Seltenheit, dass diese die monatlich von Google veröffentlichten Sicherheitsupdates zeitnah für die eigenen Geräte ausliefern. Abseits der aktuellen Flaggschiffmodelle hinken viele Smartphones dem aktuellen Patch oft mehrere Monate hinterher. Problem ist, dass jeder Hersteller selbst entscheidet, ob bzw. wann ein Patch für welches Gerät veröffentlicht wird.

Anzeige

Doch selbst wenn der neueste Sicherheitspatch eintrifft, können sich Nutzer offenbar nicht sicher sein, dass auch alle bekannten Sicherheitslücken gestopft wurden. Das zeigt eine Untersuchung des deutschen IT-Sicherheitsunternehmens Security Research Labs. Der zufolge überspringen einige Hersteller ältere Sicherheits-Updates oder verteilen gar einen funktionslosen Patch mit neuem Datum, ohne die Schwachstelle im System des Smartphones zu beseitigen.

Mehr Schein als Sein

Für ihre Untersuchung habe das Unternehmen die Firmware von rund 1.200 Android-Smartphones von mehr als einem Dutzend Herstellern überprüft. Dabei zeigte sich, dass nicht alle Sicherheitslücken geschlossen waren, die eigentlich zum jeweiligen Patch-Datum beseitigt sein sollten. In einigen Fällen überspringen die Hersteller Sicherheits-Patches und belassen damit die eigentlich zu beseitigenden Fehler im System. In anderen gehen sie noch dreister vor, wie Karsten Nohl von Security Research Labs erklärt:

"Manchmal ändern die Hersteller einfach das Datum, ohne irgendwelche Patches zu installieren. Vermutlich haben sie aus Marketinggründen den Patch-Level auf ein bestimmtes Datum gesetzt, das am besten aussieht."

Zeitgleich betont der Experte jedoch, dass das Smartphone wegen des Überspringens eines oder mehrere Patches nicht gleich besonders anfällig für Angriffe ist. Allerdings verringert sich das Sicherheitsniveau entsprechend, wenn Sicherheitslücken nicht geschlossen wurden. Zudem gibt es einige Hürden im Android-Betriebssystem, die Angreifer zunächst überwinden müssten.

Eine Lücke macht noch keinen Hack

Zu diesen Hürden gehören beispielsweise ASLR oder die sogenannte Sandbox, in der Anwendungen isoliert ausgeführt werden und Aktionen so keine Auswirkung auf das ganze System haben. Daher reichen ein paar fehlende Sicherheits-Patches oft nicht aus, damit Angreifer ein Android-Smartphone ausspähen, übernehmen oder dessen Besitzer anderweitig schädigen können. Für einen Hack werden in der Regel mehrere Fehler verknüpft. Problematisch wird es dann, wenn eine Vielzahl von Patches ausbleiben.

So zeigt die Untersuchung, dass beispielsweise das Samsung Galaxy J3 (2016) ganze 12 Sicherheitspatches fehlen, obwohl der Hersteller es anders angibt, während beim Galaxy J5 (2016) alles korrekt angegeben wird. Welcher Smartphone-Hersteller wie häufig Sicherheit "vorgaukelt", hat Security Research Labs hat in einer Grafik aufgeschlüsselt, in der Durchschnittswerte für verschiedene Unternehmen angegeben sind. Unter "Samples" ist dabei angegeben, wie viele Geräte vom jeweiligen Hersteller untersucht wurden (Few: 5 bis 9 / Many: 10 bis 49 / Lots: mehr als 50).

Bei diesen Smartphone-Herstellern klaffen Sicherheitslücken | (c) Security Research Labs> Bei diesen Smartphone-Herstellern klaffen Sicherheitslücken | (c) Security Research Labs

Selbst lässt sich nur schwer prüfen, ob auf dem eigenen Smartphone alle Sicherheits-Patches installiert wurden. Zwar bietet die App Snoop Snitch die entsprechende Möglichkeit, diese funktioniert allerdings nur mit Root-Rechten. Damit dürften viele Nutzer weiter im Unwissenden bleiben.

Besonders betroffen: Smartphones MediaTek-Prozessoren

Smartphones mit Mediatek-Prozessor sind der Untersuchung von Security Research Labs besonders von ausbleibenden oder gefälschten Sicherheits-Updates betroffen. Der Grund: Die Prozessoren des taiwanischen Herstellers kommen oft in günstigen Smartphones zum Einsatz, die sehr selten aktualisiert werden. Zudem liefert Mediatek seltener als beispielsweise Qualcomm, Samsung oder Huawei Patches für Fehler aus, die im Prozessor selbst stecken. Am aktuellsten werden dagegen Geräte mit Samsungs Exynos-Prozessoren gehalten.

Google selbst hat ebenfalls bereits auf die Ergebnisse der Untersuchung reagiert und weist darauf hin, dass einige der getesteten Geräte nicht von Google zertifiziert seien. Zudem fehlen mache Sicherheits-Patches, weil der Smartphone-Hersteller - statt eine Sicherheitslücke zu beseitigen - die lückenhafte Funktion einfach nicht mehr unterstütze oder ganz abschalte. Allerdings gilt das Karsten Nohl zufolge nur für wenige der untersuchten Modelle.

Mehr zum Thema: Android-Update, Android-Smartphones, Qualcomm, Smartphones

Quelle: Security Research Labs

Source :>http://www.areamobile.de/news/47330-android-update-schummelei-auf-smartphones<

Android: Update-Schummelei auf Smartphones
Schummelei bei Android-Smartphones: Hersteller täuschen Sicherheitsupdates vor
Android-Smartphones: Hersteller täuschen Nutzern Sicherheits-Updates vor
Android 8: Diese Geräte erhalten ein Oreo-Update
LG V30: Oreo-Update bringt KI-Features auf das Top-Smartphone
Update auf Android 9.0: Huawei verliert keine Zeit
Update Android-Update Razer Phone: Android 8.1 Oreo wird ausgerollt
Galaxy S7: Update auf Android Oreo offenbar bereit zur Verteilung
LG V30 erhält Update auf Android Oreo
Pie, Pancake, Peanut Butter Android 9.0 P: Gestensteuerung statt Navigation-Keys