Android – Hersteller verbergen fehlende Updates vor Nutzern

Teurere Geräte haben im Vergleich meist einen besseren Patch-Status, doch auch im Premium-Segment werden teilweise Aktualisierungen angezeigt, die nicht auf dem Gerät ankommen. Bei günstigeren Geräten liegt der Anteil jedoch deutlich höher. Ein fehlender Patch ist jedoch noch nicht mit einem Angreifbaren Leck gleichzusetzen, schränken die Forscher ein.

Nicht alle Android-Sicherheitsupdates kommen auf den Geräten an, wie die Sicherheitsforscher bei einer Untersuchung jetzt feststellten. Dafür wurden über einen Zeitraum von zwei Jahren insgesamt 1200 Modelle von den größten Herstellern untersucht. Am Freitag wollen Karsten Nohl und Jakob Lell der Secrity Research Labs (SRL) auf der Hack in the Box-Konferenz in Amsterdam ihre Ergebnisse vorstellen.

Google, Sony, Samsung und Wiko verpassen nur selten Sicherheitspatches auf die Geräte auszuspielen (Bild: Security Research Labs). Google, Sony, Samsung und Wiko verpassen es nur selten Sicherheitspatches auf die Geräte auszuspielen (Bild: Security Research Labs).

Die Sicherheitsexperten überprüften insgesamt 164 Sicherheitsupdates und auch, ob und wann diese tatsächlich auf den Geräten der verschiedenen Hersteller ankommen. Zahlreiche Herstellern überspringen Sicherheitsupdates, obwohl dem Nutzer vorgegaukelt wird, dass das Gerät auf aktuellstem Stand ist. Auch Sony und Samsung sollen einige Sicherheitsupdates übersprungen haben. Allerdings in einem sehr geringen Umfang. Andere Hersteller sollen demnach jedoch weniger akkurat sein.

Dadurch ergebe sich ein Patch-Gap, wie die Forscher in einem Blog erklären. Teilweise fehlen mehrere Dutzend wichtige Updates und die machen die Geräte für eine ganze Reihe bekannter Angriffe verwundbar.

So erklärte einer der Forscher gegenüber Wired, dass es für den Anwender fast unmöglich ist, zu wissen, welche Patches aktuell installiert wurden. Die Forscher werden auch bei Xiaomi, Nokia, HTC, Motorola und LG fündig. Am schlechtesten kommen die Hersteller TCL und ZTE bei dem Test weg: Im Schnitt installieren diese Hersteller mindestens vier Patches weniger als angezeigt.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

In einigen Fällen sei der Patch-Status einigermaßen zufriedenstellend, in anderen Fällen werde wohl absichtlich aus Markteing-Gründen einfach das Datum eines Updates geändert, um dem Nutzer ein aktuelles System vorzugaukeln. Nohl, der Gründer des Sicherheitsunternehmens, konkretisiert seine Kritik: „Das ist vorsätzliche Irreführung.“

Hersteller von Premium-Geräten wie Google, Sony, Samsung aber auch Wiko scheinen im Schnitt laut den SRL-Labs keine bis einen Patch zu verpassen. Xiaomi, Oneplus und Nokia verpassen durchschnittlich ein bis drei Patches. HTC, Huawei, LG und Motorola verpassen im Schnitt drei bis vier Updates und TCL und ZTE fallen in die Kategorie, in der vier oder mehr Patches verpasst oder bewusst übersprungen werden.

Als Grund führen die Forscher an, dass günstigere Geräte meist auch mit günstigeren Chips ausgerüstet sind. Geräte, die etwa mit den CPUs von MediaTek ausgerüstet sind, überspringen im Schnitt 9,7 Patches. Bei Samsung sind es weniger als 0,5 Patches und bei Qualcomm im Schnitt 1,1 Patches, die Hardware-seitig übersprungen werden. Teilweise sind die Smartphone-Hersteller dann davon abhängig, dass die Chip-Lieferanten die Patches liefern. Offenbar werden bei günstigeren Chips auch seltener Patches entwickelt und dieser Mangel wird dann wieder an die Hersteller vererbt. Wer also billige Smartphones erwirbt, bekomme auch ein geringeres Sicherheits-Level, schließen die Forscher.

In einer Stellungnahme gegenüber TechCrunch erklärt Google, dass diese Ergebnisse nicht unbedingt eine Aussage über die Sicherheit eines Gerätes zulassen. So seien die genannten Sicherheitsupdates nur ein Schutzmechanismus, um Geräte abzusichern. Zudem setzen einige Hersteller auf einen anderen Zeitplan als den von Google vorgegebenen Updates.

Weitere Sicherheits-Schichten wie ein Sandboxing von Anwendungen und weitere Sicherheitsservices wie etwa Google Play Protect seien gleichermaßen wichtig, wie Google in einem Blog erläutert. Daher sei es nach wie vor schwierig für Angreifer, Android-Geräte anzugreifen.

Gegenüber Spiegel Online bestätigt Karsten Nohl Googles Aussage: „Android als Technologie ist in den letzten Jahren sehr viel sicherer geworden, vermutlich sogar sicherer als Windows.“ Apple habe jedoch mit iOS den Vorteil, dass es Updates zentral verteilen kann. Bei Android hingegen, werde ein Patch von Google über den Chiphersteller an den Smartphone-Hersteller weitergeleitet. Damit diese Updates aber auch beim Nutzer ankommen, müssen sie noch über die Mobilfunkanbieter ausgerollt werden. Dabei können Updates natürlich schneller auf der Strecke bleiben.

Trotz fehlender Updates sei es für Angreifer nach wie vor schwierig, so Nohl in einem Interview mit Spiegel Online, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt. Auch bedeutete ein fehlender Patch noch nicht, dass der Fehler auch ausgenutzt werden könne.

Die Berliner Sicherheitsexperten erklären daher: „Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken.“ Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen statt dessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“

SnoopSnitch von Security Research Labs zeigt, wie viele Android-Patches auf dem eigenen Gerät tatsächlich ankommen. Die 2014 vorgestellte App richtete sich ursprünglich gegen ungewollte Überwachung eines Smartphones (Bild: SRL). SnoopSnitch von Security Research Labs zeigt, wie viele Android-Patches auf dem eigenen Gerät tatsächlich ankommen. Die 2014 vorgestellte App richtete sich ursprünglich gegen ungewollte Überwachung eines Smartphones (Bild: SRL).

Damit Nutzer sehen können, welche Updates tatsächlich auf dem eigenen Gerät ankommen, haben die Berliner Sicherheitsexperten die App SnoopSnitch aktualisiert. Neben dem Status der Aktualisierung zeigt die App auch, wie viele Patches fehlen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

VERANSTALTUNGSHINWEIS

Die Vorteile der Zentralisierung von PC- und Mac-Management an einem Ort

Mac-Computer werden immer beliebter. IT-Abteilungen stehen vor der Aufgabe, diese Geräte zu verwalten und tun sich damit oft schwer. Welche Vorteile die Zentralisierung von PC- und Mac-Management an einem Ort bietet, erklärt dieses Whitepaper.

Themenseiten: Android, Android-Patchday, Google, Knox, Samsung, Samsung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Android – Hersteller verbergen fehlende Updates vor Nutzern

Kommentar hinzufügen
  • Am 13. April 2018 um 11:27 von stefan

    Das ist wirklich interessant. Bei meinem Galaxy S7 und S6 analysiert die App jeweils 225 Lü+cken. Beim S7 sind 148 patched und 77 nicht eindeutig, beim S6 sind 175 patched, 49 nicht eindeutig und 1 Patch fehlt. Beide Geräte haben Patch-Level 1. Februar.

    Bei Galaxy S8 und S9 sind es insgesamt 54 Lücken, von denen 31 gepatcht und 23 nicht eindeutig sind – hier ist der Patch-Level jeweils 1. März.

    S8 und S9 scheint Samsung also nach dem Oreo-Update gleich zu behandeln – nicht jedoch S6 und S7 mit Nougat. Oder die App arbeitet nicht zuverlässig.

  • Am 14. April 2018 um 14:51 von C

    Man sollte sich diese Hersteller merken – und in Zukunft NICHTS MEHR VON DENEN KAUFEN.

    Der Apfel ist auch keine Alternative. Er liefert i.d.R. max. 5 Jahre Updates. Aber – er bestimmt über die SW die Lebensdauer des Gerätes. Das ist der Pferde-Fuß. Nur der Nutzer allein sollte, solange kein HW-Fehler vorliegt, die Nutzungs-Dauert SEINES EIGENTUMS BESTIMMEN.

    Lieber zu alternativen Herstellern greifen – die auch HW-Updates/Änderungen zulassen. Und zu einem Alternativen Custom ROM, damit Privat-Sphäre herrscht.

    • Am 15. April 2018 um 10:51 von Peter

      Ja, alternative ROMs wie LineageOS? ;)

      Oops.

      Dieses Gesteche gegen Apple ist lächerlich. Von fünf Jahren können Sie bei Android nur träumen, und bösartigen Gerüchten zufolge sollen Apple Geräte nach fünf Jahren plus einem Tag nicht in alle Einzelteile zerfallen.

      Mein Eindruck ist, dass es Ihnen schwerfällt anzuerkennen, dass Apple bezüglich Nutzungsdauer und Versorgung mit Updates schon immer vorbildlich war.

      Und die alternativen ROMs, die stets bezüglich Android eingeworfen werden, die decken am Ende bei den wenigsten Geräten alle Funktionen ab. Garantie, dass das funktionert: Null. Sicherheitsupdates: ebenfalls lückenhaft.

      Da beißt die Maus keinen Faden ab, das Android Lager hat große Schwächen.

      • Am 16. April 2018 um 8:55 von C

        @Peter

        Mein HTC HD2 (06/2009) und das geschenkte SAMSUNG S3 (2012) laufen mit Alternativ-ROMs (XDA, LineageOS) heute noch sehr gut und sehr sicher ohne Probleme.

        Daran kann sich der Apfel mal ein Vorbild nehmen – und es dem User überlassen, wann der User sein Gerät nicht mehr weiter nutzen will.

        Meine PKWs (Audi – 30 Jahre, Chrysler – 25 Jahre) laufen schließlich auch einwandfrei, ohne dass der Hersteller da so eingeplant hat.

        Und – Es ist MEIN EIGENTUM, nicht das Eigentum des Herstellers. Bei einer Lizensierung der HW wäre es etwas anderes, hier handelt es sich jedoch um EIGENTUM und BESITZ-WECHSEL. Mal Rechtskunde nachsehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *