Nich alles vermeintlichen Sicherheitsupdates bei Android-Handys sind auch das was sie vorgeben. Das hat eine Gruppe von Sicherheitsforschern zusammen mit dem Branchendienst Wired herausgefunden. Dafür wurden über einen Zeitraum von zwei Jahren insgesamt 1200 Modelle von den größten Herstellern untersucht. Am Freitag wollen Karten Nohl und Jakob Lell der Secrity Research Labs (SRL) auf der Hack in the Box-Konferenz in Amsterdam ihre Ergebnisse vorstellen.

Die Forschergruppe hat überprüft, ob die Sicherheitsupdates auch tatsächlich wie angezeigt auf den Geräten ankommen. Zahlreiche verschiedene Geräte von mehreren Herstellern überspringen Sicherheitsupdates, obwohl dem Nutzer vorgegaukelt wird, dass das Gerät auf aktuellstem Stand ist. Auch Sony und Samsung sollen einige Sicherheitsupdates übersprungen zu haben.

Dadurch ergebe sich so etwas wie ein Patch-Gap. Teilweise fehlen mehrere Dutzend wichtige Updates und die machen die Geräte für eine ganze Reiher bekannter Angriffe verwundbar.

So erklärte einer der Forscher gegenüber dem Blatt, dass es für den Anwender fast unmöglich ist, zu wissen, welche Patches aktuell installiert wurden. Die Forscher werden auch bei Xiaomi, Nokia, HTC, Motorola und LG fündig. Am schlechtesten kommen die Hersteller TCL und ZTE bei dem Test weg: Im Schnitt werden mindestens vier Patches weniger als angezeigt installiert.

In einigen Fällen sei der Patch-Status einigermaßen zufriedenstellend in anderen Fällen werde wohl absichtlich aus Markeing-Gründen einfach das Datum eines Updates geändert, um dem Nutzer ein aktuelles System vorzugaukeln. Nohl, der Gründer des Sicherheitsunternehmens konkretisiert seine Kritik: „Das ist vorsätzliche Irreführung.“

Hersteller von Premium-Geräten wie Google, Sony, Samsung aber auch Wiko scheinen im Schnitt laut den SRL-Labs keine bis einen Patch zu verpassen. Xiaomi, Oneplus und Nokia verpassen durchschnittlich ein bis drei Patches. HTC, Huawei, LG und Motorola verpassen im Schnitt drei bis vier Updates und TCL und ZTE fallen in die Kategorie, wo vier oder mehr Patches verpasst oder bewusst übersprungen werden.

Als Grund führen die Forscher an, dass günstigere Geräte meist auch mit günstigeren Chips ausgerüstet sind. Geräte, die mit den CPUs von MediaTek ausgerüstet sind, überspringen im Schnitt 9,7 Patches. Bei Samsung sind es weniger als 0,5 Patches und bei Qualcomm im Schnitt 1,1 Patches, die Hardware-seitig übersprungen werden. Teilweise sind die Smartphone-Hersteller dann davon abhängig, dass die Chip-Lieferanten die Patches liefern. Offenbar werden bei günstigeren Chips auch seltener Patches entwickelt und dieser Mangel wird dann wieder an die Hersteller vererbt. Wer also billige Smartphones erwirbt, bekommen auch ein geringeres Sicherheits-Level, schließen die Forscher.

In einer Stellungnahme gegenüber TechCrunch erklärt Google, dass diese Ergebnisse nicht unbedingt eine Aussage über die Sicherheit eines Gerätes zulassen. So seien die genannten Sicherheitsupdates nur ein Schutzmechanismus, um Geräte abzusichern. Zudem setzen einige Hersteller auf einen anderen Zeitplan als den von Google vorgegebenen Updates. Zudem sorgten weitere Sicherheits-Schichten wie ein Sandboxing von Anwendungen und weitere Sicherheitsservices wie etwa Google Play Protect seigen gleichermaßen wichtig, wie Google in einem Blog erläutert. Daher sei es nach wie vor schwierig für Angreifer, Android-Geräte anzugreifen.

