Android-Updates: Fehlende Sicherheitsupdates auch bei LineageOS [UPDATE]

Nicht nur Smartphonehersteller integrieren nicht alle von Google veröffentlichte Sicherheitspatches, sondern auch Custom-Rom-Entwickler vergessen einige Updates.

Nach einer Analyse des von SRLabs entwickelten Tools SnoopSnitch, das im Google Play kostenlos zur Verfügung steht, sind von fehlenden Sicherheitspatches nicht nur Smartphones bekannter Hersteller betroffen, sondern auch alternative Android-Versionen wie LineageOS.

Auf dem LG G3 mit aktuellem LineageOS 14.1 sind laut Systeminfo die Android-Sicherheitspatches vom 5. März 2018 integriert. Laut SnoopSnitch fehlen aber mindestens drei Patches. Es könnten aber noch mehr sein, denn in 13 Fällen liefert das Tool kein eindeutiges Ergebnis.

LG G3 mit LineageOS: fehlende Sicherheitspatches (Bild: ZDNet.de)

Auch beim Google Nexus 5 mit LineageOS 14.1 und installierten Sicherheitspatches vom 5. März 2018 ermittelt SnoopSnitch einen fehlenden Sicherheitspatch. Bei 13 Überprüfungen ist sich das Tool nicht sicher, ob die Patches integriert sind. Der Parameter „After claimed patch level“ gibt an, wie viele Sicherheitslücken nach dem aktuell im Telefon installierten Sicherheitspatch-Level beseitigt wurden. Beim Nexus 5 mit Patch-Level 5. Juni 2017 sind bis jetzt 47 neue Lücken hinzugekommen.

Nexus 5 mit LineageOS: SnoopSnitch ermittelt fehlende Sicherheitspatches (Bild: ZDNet.de)

Während Smartphonehersteller wie Google und Samsung für einige Geräte drei Jahre lang mit Sicherheitsupdates versorgen,  –  bei Samsungs-Enterprise-Geräten sind es sogar bis zu viere Jahre -, geben sich andere Hersteller deutliche weniger Mühe. Das Sony Xperia Z3 Compact hat den letzten Sicherheitspatch im Mai 2016 erhalten. Dementsprechend liefert SnoopSnitch für das Z3 Compact 126 ungepatchte Sicherheitslücken auf. Bei 10 ist sich das Tool nicht sicher, ob sie korrekt gepatcht wurde.

Nun man mag einwenden, dass das Xperia Z3 Compact auch schon 2014 erschienen ist und nach vier Jahren mit keinen Updates mehr zu rechnen ist. Allerdings gibt es auch andere Hersteller die ihre Telefone deutlich länger mit Updates versorgen. So hat beispielsweise das im selben Jahr erschienenen Samsung Galaxy S5 im letzten Monat noch eine Sicherheitsaktualisierung erhalten.

Sony Xperia Z3 Compact: Patch-Level Mai 2016 (Bild: ZDNet.de)

Gefahr durch fehlende Sicherheitspatches

Obwohl der Entwickler von SnoopSnitch und Gründer der Sicherheitsfirma Karsten Nohl auf die Bedeutung monatlicher Sicherheitspatches hinweist, sagt der Sicherheitsforscher aber auch, dass allein ein fehlender Patch bei weitem nicht ausreicht, um ein Android-Telefon aus der Ferne anzugreifen. Moderne Betriebssysteme verfügen über mehrere Sicherheitsbarrieren wie ASLR und Sandboxing, die in der Regel durchbrochen werden müssen, um ein Telefon aus der Ferne zu hacken. Aufgrund dieser Komplexität reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Bugs aneinander gekettet werden. Erst kürzlich hatte ein Sicherheitsforscher sechs verschiedene Apps nötig, die insgesamt 11 Schwachstellen ausnutzten, um Zugriff auf ein Galaxy S8 zu bekommen.

Laut Nohl haben auch Cyberkriminelle das erhöhte Sicherheitslevel von Android erkannt. Statt ein Android-Smartphone zu hacken, konzentrieren sie sich stattdessen auf Social-Engineering, um Anwender zur Installation von Schadsoftware zu verleiten und diesen dann übermäßige Berechtigungen zu erteilen. Tatsächlich wurden laut Nohl im letzten Jahr kaum kriminelle Hacking-Aktivitäten rund um Android beobachtet.

Somit sind die nicht gepatchte Sicherheitslücken lediglich für staatlich geförderte und andere hartnäckige Hacker interessant. Diese greifen zwar typischerweise auf „Zero-Day“-Schwachstellen zurück, so Nohl, doch können sie sich aber auch auf bekannte Fehler konzentrieren, um effektive Exploit-Ketten zu entwickeln. Das Patchen dieser bekannten Fehler erhöht somit den Aufwand für sehr entschlossene Hacker.

[UPDATE 15.4.]
Wie ZDNet.de vom Maintainer er LineageOS-Version für das Nexus 5 erfahren hat, planen die Entwickler die fehlenden Patches in die Custom ROM zu integrieren.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Themenseiten: Google, LineageOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

10 Kommentare zu Android-Updates: Fehlende Sicherheitsupdates auch bei LineageOS [UPDATE]

Kommentar hinzufügen
  • Am 14. April 2018 um 13:04 von Micha

    Hallo,

    mir fehlt ein wenig die Info, ob ihr bei LineageOS angefragt habt oder die jeweils zuständigen Entwickler kontaktiert habt? Eine Stellungnahme wäre ja sehr interessant und würde diesen Artikel abrunden.

    • Am 14. April 2018 um 15:28 von Kai Schmerer

      Die Entwickler wurden informiert. Sobald neue Informationen vorliegen, gibt es hier ein Update.

  • Am 14. April 2018 um 13:23 von Micha

    Was ich vorhin vergessen habe zu erwähnen ist, dass ich unter LineageOS 15.1 (Official Build) mit dem OnePlus3 als Ergebnis lediglich bekomme, das die Android Version 8.1.0 noch nicht getestet werden kann.
    Bin sehr gespannt, ob die Version auch betroffen ist.

  • Am 14. April 2018 um 14:42 von C

    Bei den Herstellern ist das zu Erwarten gewesen, dass sie eben, obwohl alle Patche zur Verfügung stehen, diese NICHT an Ihre End-Kunden weitergeben um eben Neukauf-Druck zu erzeugen.

    Bei LineageOS hätte Ich das nicht gedacht. Hier muss dringend nachgesteuert werden, damit wenigstens die Custom Roms sicher sind.

    Unabhängig davon sollten sich die Kunden das Hersteller-Verhalten merken – und eben diese in Zukunft meiden. Fehlt das Geld/Gewinn, werden diese sich schon ändern oder untergehen.

    • Am 14. April 2018 um 16:52 von Antiappler

      @C

      „Bei den Herstellern ist das zu Erwarten gewesen, dass sie eben, obwohl alle Patche zur Verfügung stehen, diese NICHT an Ihre End-Kunden weitergeben um eben Neukauf-Druck zu erzeugen.“

      Ja und nein. Das interessiert doch eher die „paar Nasen“ in den IT-Foren. Die große Masse an Kunden bekommt solche Sachen doch gar nicht mit, und kauft sich weiter ihre bevorzugte Firma.

      Und ich bin auch sehr sicher, dass es im Leben außerhalb von Tech-Magazinen kaum Leute gibt, die wissen was Lineage OS ist oder dass es überhaupt existiert.

      Also wird es auch in Zukunft so weitergehen wie bisher.

      • Am 16. April 2018 um 8:46 von C

        @Antiappler

        Vielleicht werden große Daten-Skandale (wie jetzt bei FB) die Leute wach rütteln. Vielleicht muss ein noch größerer Skandal her, damit die Masse was mitbekommt.

        Inzwischen ist die Verbreitung von LineageOS zumindest bei ITlern nichts ungewöhnliches mehr. Ein Kollege hatte den gleichen Klingel-Ton sowie das Hintergrund-Bild. Trifft man selten, aber doch.

        Gruß

        • Am 16. April 2018 um 10:31 von smartdata

          @C
          und was hat der FB Skandal mit Smartphoneupdates zu tun?

          Ich zitiere mal einen gerade erschienen Artikel bei Spiegel Online (von der Sorte gibt es m.E.n. viel zu wenige….

          „Erinnert sich noch jemand an Stagefright die Mutter aller Android-Sicherheitslücken? Die „schlimmste in der Geschichte mobiler Betriebssysteme“, wie ihr Entdecker im Juli 2015 behauptete? 95 Prozent aller Android-Geräte, also Hunderte Millionen Smartphones und Tablets, hätten damit ausspioniert werden können. Theoretisch.

          Praktisch ist nichts dergleichen geschehen. Weder Stagefright, noch andere medienwirksam veröffentlichte Sicherheitslücken wie Quadrooter oder Rowhammer hatten Angriffswellen zur Folge. „Die wird es laut unseren Forschungsergebnissen auch in Zukunft nicht geben“, sagt Karsten Nohl, Gründer des Berliner IT-Sicherheitsunternehmens Security Research Labs“

          Ich werd ja immer verteufelt, wenn ich nach den Folgen der ganzen ach so dramatischen Lücken frage…

          • Am 16. April 2018 um 11:48 von C

            @smartdata

            Die Allgemeinheit hat mitbekommen, dass FB Schindluder mit deren Daten betreibt (FB-User & Nicht-FB-User).

            Prominente (u. a. Musk, Wozniak) verlassen FB oder wie P&G machen auf FB keine Werbung mehr.

            Die Federales (auf dieser und der anderen Seite des Atlantiks) haben sich damit beschäftigt – wurden mit schönen, warmen Worten beschwichtigt. Es steht noch aus, ob die Federales gesetzlich die Zügel enger anlegen.

            FB hat Besserung gelobt – und will was tun. Auch wenn Ich dieser Aussage im Kern nicht glaube.

            Die Datenschützer sollten sich FB noch einmal sehr kritisch anschauen – insb. über das Sammeln von Daten von Nicht-FB-Usern.

            Ein kleiner Ruck ist passiert – mal sehen, ob die Lethargie wieder über die User-Masse herfällt, oder Leute eben doch über den Bildschirm-Rand hinaus anfangen zu denken.

  • Am 14. April 2018 um 17:42 von Harald L.

    Es gibt Patches in den Android-Sourcen, die werden für alle Geräte zentral eingepflegt, sind für jedes Gerät dann vorhanden. Auf dieser Basis wird der Patchlevel angezeigt. Und dann gibt es Patches direkt für den jeweiligen Kernel die für jedes einzelne Gerätemodell von einem (freiwilligen) Maintainer integriert werden müssen. Und zuletzt Patches in closed source Binaries (z.B. Treibern), die für ältere Geräte oft gar nicht zur Verfügung gestellt werden, also die LineageOS-Leute technisch gar nicht ingegrieren können.

    LineageOS macht das Ganze aber transparent. Dafür gibt es eine Übersicht die man hätte recherchieren können: https://cve.lineageos.org/ wo man für jedes Gerät, z.B. für das LG G3 nachschauen kann welche Patches fehlen: https://cve.lineageos.org/android_kernel_lge_g3

    Und es wurden schon Geräte wo zuviel fehlt aus dem Buildprozess ausgeschlossen bis die gröbsten Lücken wieder geschlossen wurden. Schließlich ist das ein Fan-Projekt, wenn sich für ein Gerät kein freiwilliger Maintainer findet kann auch niemand Patches einbinden.

  • Am 16. April 2018 um 17:19 von Tim

    Im Fall des verlinkten Patches (https://review.lineageos.org/#/c/LineageOS/android_frameworks_av/+/212799/) scheint die App eine Fehlinformation zurückzugeben, denn sie sucht nur nach bestimmten Mustern in den kompilierten Dateien und versucht nicht die Sicherheitslücke selber zu testen.

    Aus den Kommentaren des verlinkten Patches geht hervor, dass die Sicherheitslücke angeblich bereits behoben ist, allerdings dies nicht von der App erkannt wird, da nicht (wie im AOSP-Patch) die Funktion memmove (eine Funktion zum Kopieren von Speicherinhalten) benutzt wird, sondern der Speicher mit einer for-Schleife Byte für Byte kopiert wird (was am Ende auf das gleiche herauskommen würde). Da jedoch ein Aufruf von memmove von der App vorausgesetzt wird (da die App nach dem Muster des Funktionsaufrufs sucht), damit die Sicherheitslücke als „behoben“ eingestuft wird, wird die Sicherheitslücke im Moment als „offen“ angezeigt.

    TL;DR App versucht nicht, die Sicherheitslücken auszunutzen um den Status zu überprüfen, sondern sucht nur nach bestimmten Mustern, was zu nicht erkannten Bugfixes führen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *