Studie: 87 Prozent aller Android-Geräte haben mindestens eine kritische Sicherheitslücke

Forscher untersuchen die Verbreitung von elf zum Teil seit fünf Jahren bekannten Anfälligkeiten. Sie kritisieren, dass weder Verbraucher noch Firmen oder Behörden wissen, ob ihre Geräte irgendwann Sicherheitsupdates erhalten. Im Schnitt erscheinen nur 1,26 Android-Sicherheitsupdates pro Jahr.

In 87 Prozent aller Android-Geräte weltweit steckt mindestens eine von elf bekannten und als kritisch eingestuften Sicherheitslücken. Das ist das Ergebnis einer Studie der britischen University of Cambridge. Sie hat dafür mit der App Device Analyzer Daten von mehr als 20.000 Android-Smartphones und –Tablets ausgewertet.

Die untersuchten elf Anfälligkeiten wurden in den vergangenen fünf Jahren bekannt. Dazu gehört eine Lücke im Linux-Kernel, die der Sicherheitsforscher Pinkie Pie entdeckt hat. Seit Juni 2014 nutzt das vom bekannten Hacker George Hotz entwickelte Tool Towelroot die Schwachstelle, um Android-Smartphones zu rooten. Die Forscher haben aber auch den Fake ID genannten Bug berücksichtigt, der die App-Berechtigungen in Android unwirksam macht.

Derzeit haben rund 87 Prozent aller Android-Geräte mindestens eine bekannte kritische Sicherheitslücke (Bild: University of Cambridge).Derzeit haben rund 87 Prozent aller Android-Geräte mindestens eine bekannte kritische Sicherheitslücke (Bild: University of Cambridge).

Die Studie zeigt auch, dass der Anteil der Geräte, auf denen eine unsichere Android-Version läuft, schon seit April 2013 überwiegend die Marke von 80 Prozent überschreitet. Anfang 2013, Anfang 2014 und auch Anfang 2015 näherte er sich kurzzeitig sogar der 100-Prozent-Marke an.

Die Forscher kritisieren in ihrer Studie, dass weder Verbraucher noch Behörden oder Unternehmen bei der Anschaffung von Android-Geräten wissen, welcher Hersteller die von Google entwickelten Sicherheitspatches in seine eigenen Android-Versionen integriert und ausliefert. Nur der Hersteller wisse, ob ein Gerät derzeit sicher sei und Sicherheitsupdates erhalte, nicht aber der Kunde.

Fehlende Sicherheitsupdates für Android sind ein bekanntes Problem, das sich auch in der Fragmentierung der Android-Versionen wiederspiegelt. So lief Android-Version 5.1 Google zufolge Anfang Oktober nur auf 7,9 Prozent aller Geräte. Den Forschern zufolge erhalten Android-Geräte nur 1,26 Sicherheitsupdates pro Jahr. In diese Untersuchung sind allerdings keine Geräte mit Custom ROMs eingeflossen. Wer beispielsweise ein Smartphone mit CyanogenMod nutzt, erhält in der Regel Sicherheitsupdates innerhalb weniger Tage.

„Die Sicherheitscommunity ist schön länger wegen der fehlenden Sicherheitsupdates für Android-Geräte besorgt“, sagte Andrew Rice, einer der Forscher der University of Cambridge. „Unsere Hoffnung ist, dass wir mit der zahlenmäßigen Darstellung des Problems den Leuten bei der Auswahl eines Telefons helfen können, was im Gegenzug ein Anreiz für die Hersteller und Netzbetreiber sein kann, Updates auszuliefern.“

Um die Häufigkeit von Sicherheitsupdates darzustellen, haben die Forscher einen FUM genannten Index entwickelt. „F“ steht dabei für die Anzahl von Geräten des Herstellers mit bekannten Sicherheitslücken, „U“ für den Anteil der Geräte mit der aktuellsten OS-Version und „M“ für die Zahl der Löcher, die ein Hersteller noch nicht gestopft hat. Auf einer Skala zwischen 0 und 10 erreichen Googles Nexus-Geräte demnach 5,2 Punkte, Produkte von LG 4,0 Punkte und Smartphones von Motorola 3,1 Punkte. Samsung liegt mit 2,7 Punkten auf dem vierten Platz, gefolgt von Sony, HTC und Asus.

Zuletzt hatten Forscher vermehrt kritische Sicherheitslücken in Android gefunden, darunter die sogenannte Stragefright-Lücke, die nahezu alle Android-Versionen betrifft. Google, Samsung und LG verpflichteten sich daraufhin, künftig einmal pro Monat Sicherheitsupdates auszuliefern. HTC stuft diese Zusage vor allem in Bezug auf Geräte, die Mobilfunkbetreiber mit einem Branding versehen und selber vertreiben, als unrealistisch ein. Sie entscheiden nämlich darüber, ob und wann die von Google bereitgestellten und von einem Hersteller in seine Software integrierten Fixes den Nutzern zur Verfügung gestellt werden.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

 

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Themenseiten: Android, Betriebssystem, Google, HTC, LG, Mobile, Motorola, Samsung, Secure-IT, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

13 Kommentare zu Studie: 87 Prozent aller Android-Geräte haben mindestens eine kritische Sicherheitslücke

Kommentar hinzufügen
  • Am 14. Oktober 2015 um 12:04 von PeerH

    Wenn man den folgenden Satz liest, und sich die Grafik anschaut, kann es nur eine Empfehlung geben – solange es keine gesicherte Update Versorgung gibt –> Android meiden.

    „Unsere Hoffnung ist, dass wir mit der zahlenmäßigen Darstellung des Problems den Leuten bei der Auswahl eines Telefons helfen können…“

    Bei der Auswahl kann dem interessierten Kunden nur geholfen werden, wenn er eben was anderes kauft.

  • Am 14. Oktober 2015 um 12:24 von Mac-Harry

    Prima. Ich dachte es sind 100 Prozent. GUTE NEWS

    • Am 14. Oktober 2015 um 13:04 von Judas Ischias

      Also echt jetzt, @Mac-Harry,
      auf welcher Fahrspur bewegst Du Dich, um solche riesigen Sicherheitslücken „prima“ zu finden?
      Da fehlen mir einfach nur die Worte.

      • Am 14. Oktober 2015 um 16:58 von Mac-Harry

        @Judas: Na ja, bisher ging ich davon aus, dass Android in Summe ein Schrott-Produkt ist. 87 Prozent unsicher bedeutet für mich, es gibt einen Rest, der irgendwie den üblichen „Sicherheitsansprüchen genügt“. Ist doch was. Ist mir eh egal, weil „wir“ alle auf iOS setzen. Sicher ist sicher. Unsicher ist Android und Windows.

        • Am 14. Oktober 2015 um 17:18 von sowas aber auch

          Sieht man ja an den Nacktbildern der Sternchen die aus der google und windows cloud gestohlen wurden

        • Am 14. Oktober 2015 um 19:00 von Judas Ischias

          Na ja, ich finde 13 Prozent, die auch nur im Moment „sicher“ sind, denn bis zur Entdeckung der nächsten Lücke ist nur wenig Zeit, sind eine erbärmlich kleine Zahl.
          Aber wundern tut mich bei Apple, dass man da in letzter Zeit auch von sehr vielen Sicherheitslücken liest, die auch nicht immer sofort gestopft werden und wo die werten Kunden nicht sofort informiert werden.
          Also auch weiter kein Grund zum Apfel zu wechseln. :-D

        • Am 14. Oktober 2015 um 20:37 von PeerH

          Hat was von einer Lotterie … 13% sind ab und an ’sicherer‘ als die anderen, aber das variiert von Monat zu Monat. Man kann sich freuen, wenn man innerhalb von zwei Jahren einen Monat hat, in dem man nicht ein unsicheres Gerät besäße. Entspräche vier Richtige mit Zusatzzahl. ;-)

  • Am 15. Oktober 2015 um 6:58 von warum

    Warum schreiben eigentlich Fans von einem Betriebssystem das immer Sicherheitslücken hat, wie jedes andere auch hier immer was gegen android und microsoft? ios-> Jailbreak-> durch SICHERHEITSLÜCKEN!

    http://www.zdnet.de/88249177/untethered-jailbreak-fuer-ios-9-verfuegbar/

    “…die für den Hack genutzten Schwachstellen…

    Ab in die Ecke

    • Am 15. Oktober 2015 um 9:58 von Ganz einfach!

      Die schreiben das, weil die Hater des genannten Betriebssystems, das für ihr eigenen bevorzugtes Betriebssystem ganz genauso machen.

  • Am 15. Oktober 2015 um 8:47 von Mac-Harry

    Eigentlich hat Google keine Sicherheitslücke. Google ist eine Sicherheitslücke.

    Google hört mit und speichert alles. Anfragen finden und löschen

    http://n-tv.de/technik/Google-hoert-mit-und-speichert-alles-article16136441.html

  • Am 15. Oktober 2015 um 15:41 von achso

    Und Siri macht das anders? Kann man bei Apple seine Anfragen den abhören & sogar löschen? Nein? Warum nicht?

    • Am 16. Oktober 2015 um 1:20 von Judas Ischias

      Das interessiert mich jetzt aber auch.
      Kann denn nicht mal einer der „normalen“ Nutzer Siri fragen, was die dazu sagt, und dann hier mal berichten? ;)
      Soweit mir das bekannt ist, gehen die Anfragen gleich auf die Server von Apple und da gibt es vom Nutzer keinerlei Zugriff mehr.

      • Am 17. Oktober 2015 um 0:00 von Judas Ischias

        Na, das sieht ja wohl ganz offensichtlich danach aus als wären von Siri keine guten Antworten gekommen. ;)
        Sonst hätten sich doch hier bestimmt die Appler bestimmt mit positiven Meldungen überschlagen.;)

        Umkehrschluß:Siri macht das nicht anders.
        Auch bei Apple kann man seine Anfragen nicht abhören und auch nicht löschen.
        Warum nicht?
        Darauf gibt es weder von Siri noch von Apple eine Antwort.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *