2343071

Android-Smartphone-Hersteller täuschen Sicherheits-Updates oft nur vor

13.04.2018 | 10:23 Uhr |

Viele Hersteller von Android-Smartphones installieren die von Google bereitgestellten Sicherheits-Updates nicht. Und verschweigen das den Benutzern, indem sie das Update-Datum einfach aktualisieren!

Karsten Nohl und Jakob Lell von dem Sicherheitsunternehmen Security Research Labs haben untersucht, ob und wie die Hersteller von Android-Smartphones die von Google für das Android-Betriebssystem bereitgestellten Sicherheits-Updates an ihre Geräte weitergeben. Das alarmierende Ergebnis: Viele Hersteller, darunter viele bekannte chinesische Smartphone-Produzenten, täuschen die Sicherheits-Updates nur vor. Indem sie der auf den Smartphones installierten Androidversion einfach ein neueres Updatedatum verpassen, um zu suggerieren, dass es auf dem neuesten Sicherheitstand sei.

Google stellt grundsätzlich einmal pro Monat Sicherheitsupdates für Android bereit. Diese Updates müssen die Smartphone-Hersteller aber an ihre Geräte anpassen. Und danach die angepasste Androidversion an ihre Geräte ausliefern. Das scheint aber vielen Herstellern zu viel Arbeit zu sein.

Laut der Untersuchung der beiden deutschen Sicherheitsexperten lassen viele Android-Hersteller einige von Google bereitgestellte Patches einfach weg. Dadurch sind in Android-Smartphones Sicherheitslücken vorhanden, ohne dass deren Besitzer etwas davon wissen. Ganz im Gegenteil gehen die Smartphone-Besitzer aufgrund des letzten Aktualisierungsdatums, das sie in ihren Systemeinstellungen lesen können, davon aus, dass ihre Geräte auf dem aktuellsten und sichersten Stand sind.

Karsten Nohl und Jakob Lell haben mehrere Hundert Android-Smartphones – laut Wired 1200 Geräte - daraufhin untersucht, ob tatsächlich alle erschienenen Patches installiert wurden, die für die in den Systemeinstellungen genannte Androidversion verfügbar sind. Die beiden Forscher haben dann zusammengestellt, wie viele von Google seit Oktober 2017 als „kritisch“ oder „hochkritisch“ eingestufte Sicherheits-Patches durchschnittlich in den Geräten der einzelnen Hersteller fehlen. Wenn man das letzte Aktualisierungsdatum zu Grunde legt, das die Geräte anzeigen (wobei die Anzahl der ausgewerteten Geräte je nach Hersteller schwankt). Im schlimmsten Fall aktualisierten die Smartphone-Hersteller also einfach nur das in den Android-Systemeinstellungen angezeigte letzte Aktualisierungsdatum für die installierte Androidversion – haben aber die dafür erforderlichen Patches einfach weggelassen.

0 bis 1 fehlende Patches: Google, Sony, Samsung, Wiko
1 bis 3 fehlende Patches: Xiaomi, OnePlus, Nokia,
3 bis 4 fehlende Patches: HTC,  Huawei, LG, Motorola
Mehr als 4 fehlende Patches: TCL, ZTE

Auch wenn die Zahlen im Detail noch etwas schwanken können, der Trend ist klar erkennbar: Wenn man sich ein Android-Smartphone kauft und möglichst auf Nummer sicher gehen will, dann sollte man zu einem Google Pixel, zu einem Samsung-Smartphone, zu einem Gerät von Sony oder zu einem von dem hierzulande relativ unbekannten Unternehmen Wiko greifen. Hingegen nehmen es durchaus bekannte Smartphone-Hersteller wie beispielsweise Huawai, HTC oder LG sowie ZTE mit der Sicherheit nicht ganz so genau. Auch die zuletzt stark gewachsenden chinesischen Hersteller Xiaomi und OnePlus, sowie die Comeback-Marke Nokia haben keine blütenweiße Weste.

Aus den fehlenden Patches muss aber nicht zwangsläufig eine tatsächlich ausnutzbare Sicherheitslücke resultieren. Aufgrund der Komplexität moderner Betriebssysteme müssen oft erst mehrere Schwachstellen zusammen kommen, damit Hacker diese auch wirklich ausnutzen können, wie die beiden Forscher betonen.

Security Research Lab stellt mit SnoopSnitch (zwei Screenshots von dem Ergebnis eines Scans siehe unten) eine Gratis-App zur Verfügung, mit der Sie überprüfen können, ob alle für Ihre Android-Version verfügbaren Patches auch tatsächlich installiert sind. Die beiden Forscher stellen ihre Ergebnisse heute auf einer Sicherheitskonferenz in Amsterdam vor.

Nohl und Lell sehen zumindest einen Teil der Schuld für das vorgetäuschte Patchverhalten bei den Chip-Herstellern. Denn es fällt auf, dass besonders viele Patches auf Smartphones fehlen, die mit Chipsätzen von MediaTek bestückt sind. Der taiwanesische Chip-Hersteller MediaTek stellt für seine Prozessoren vermutlich seltener Updates bereit, als es die Weltkonzerne Samsung und Qualcomm für ihre Prozessoren tun, um Sicherheitslücken zu schließen, die in Zusammenhang mit den Prozessoren stehen. Die Smartphone-Hersteller sind aber auf diese Updates der Chip-Hersteller angewiesen. Das könnte die betroffenen Smartphone-Hersteller in die Versuchung führen, Updates einfach nur vorzutäuschen.

Google teilte auf Anfrage von Wired mit, dass es die Untersuchung des deutschen Unternehmen SRL schätze. Einige der kritisierten Smartphones seien aber von Google nicht zertifiziert und deshalb nicht an Googles Sicherheitsstandards gebunden. Zudem würden moderne Android-Smartphones diverse Sicherheitsfeatures besitzen, die Hackern Angriffe auch dann erschweren sollen, wenn ungepatchte Sicherheitslücken vorhanden sind. Vielleicht hätte der Hersteller auch die Funktion entfernt, die durch die Lücke betroffen sei. Dann wäre der Patch natürlich nicht nötig. Google wolle aber mit SLR bei diesem Problem zusammenarbeiten.

Diese Entdeckung verschärft die ohnehin schon angespannte Sicherheitslage für Android zusätzlich. Denn viele Hersteller, gerade von Billig-Smartphones, stellen oft schon kurze Zeit nach Erscheinen ihrer Geräte keine Updates mehr bereit. Auf vielen Androiden wie unserem HTC One M9 laufen also ohnehin veraltete Androidversionen, für die es keine Sicherheitsupdates mehr gibt. Doch Besitzer solcher älteren Android-Geräte wissen zumindest von dem Problem.

Wir machten den Test mit SnoopSnitch: Auf unserem HTC One M9 fehlen zwei Patches, die eigentlich vorhanden sein sollten. Viel schlimmer ist aber, dass wir für dieses ehemalige Top-Android-Smartphone von HTC seit Februar 2017 überhaupt keine Updates mehr bekommen.
Vergrößern Wir machten den Test mit SnoopSnitch: Auf unserem HTC One M9 fehlen zwei Patches, die eigentlich vorhanden sein sollten. Viel schlimmer ist aber, dass wir für dieses ehemalige Top-Android-Smartphone von HTC seit Februar 2017 überhaupt keine Updates mehr bekommen.

Tipp : Android absichern: So geben Sie Angreifern keine Chance



PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2343071