Xiaomi Mi MIX 2S: Android 9 mit September-Patch (Bild: ZDNet.de).
Google hat die September-Sicherheitspatches für Android veröffentlicht. Der Patch-Level 1. September schließt insgesamt 24 Schwachstellen, von denen fünf als kritisch eingestuft sind. Kritische Schwachstellen sind Sicherheitslücken, die eine Ausführung von Code aus der Ferne erlauben (Remote Code Execution, RCE).
Zusätzlich schließt der Patch-Level 5. September unter anderen herstellerspezifische Schwachstellen, die etwa in Qualcomm-Treibern enthalten sind. Diesen Monat sind das 35, wovon sechs als kritisch eingestuft sind.
Die meisten Smartphone-Hersteller implementieren grundsätzlich den ersten Patch-Level. Die im zweiten Patch-Level aufgeführten Schwachstellen werden allerdings mit dem ersten Patch-Level des Folgemonats geschlossen. Die Android-Sicherheitsebene 1. September schließt also die Schwachstellen, die im zweiten Patch-Level des Monats August enthalten waren, ein.
Zusätzlich zu den von Google bereitgestellten Sicherheitsupdates für Android veröffentlichen auch einige Smartphonehersteller für ihre Geräte sicherheitsrelevante Patches. Samsung schließt diesen Monat 18 Sicherheitslücken, von denen es mindestens eine als kritisch einstuft. Allerdings liefert Samsung zu vier Schwachstellen aus Sicherheitsgründen keine Beschreibung. Dabei dürfte es sich ebenfalls um Lücken der höchsten Gefahrenstufe handeln.
LG hat ebenfalls Informationen zu seinen Juli-Patches veröffentlicht. Demnach schließt es zusätzlich zwei Schwachstellen, von denen keine als kritisch eingestuft ist.
Wie üblich erhalten die von Google verkauften Pixel-Geräte als erstes die Sicherheitsaktualisierung. Google garantiert für seine Smartphones zwei Jahre lang Betriebssystemupdates und drei Jahre lang Sicherheitsupdates. Auch die mit Android One ausgestatteten Smartphones sollten die Aktualisierungen bald erhalten.
Bei anderen Herstellern dauert es meistens länger, bis die Geräte die Sicherheitsaktualisierungen erhalten. In der Regel werden sie für unterstützte Geräte jedoch im selben Monat ausgeliefert, in dem sie veröffentlicht wurden. Das gilt aber nicht für jeden Hersteller und jedes Modell. Monatliche Sicherheitsupdates garantiert Samsung beispielsweise für seine Galaxy-S- und Note-Smartphones. Auch bestimmte A-Modelle erhalten die monatlichen Sicherheitsaktualisierungen. Ab diesem Monat erhält übrigens das Galaxy S6 Edge keine Sicherheitsupdates mehr. Das Galaxy S6 wurde bereits früher nicht mehr berücksichtigt.
Wie eine Analyse des bekannten deutschen IT-Sicherheitsspezialisten Karsten Nohl ergab, schlampen einige Smartphonehersteller bei der Integration der von Google monatlich veröffentlichen Sicherheitspatches. Allerdings reichen ein paar vergessene Sicherheitspatches nicht aus, um ein Android-Smartphone zu kompromittieren: Trotz fehlender Updates sei es für Angreifer nach wie vor schwierig, so Nohl in einem Interview mit Spiegel Online, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt.
„Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken“, sagt Nohl. Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen stattdessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“ Um die Hürde für Cyberkriminelle hochzuhalten, sei es jedoch wichtig, dass möglichst viele Smartphones mit monatlichen Sicherheitsupdates versorgt werden.
Hinsichtlich der Sicherheit hat Android gegenüber iOS laut einer Untersuchung von Gartner in den letzten Jahren aufgeholt. Während bei den überprüften 16 Geräte-Sicherheitsfunktionen Android-7-Smartphones mit fünf „strong“-Bewertungen der iOS-Plattform noch unterlegen waren, erreichen Modelle mit Android 8 11-mal die Bestnote und ziehen damit am iPhone vorbei. Am sichersten sind laut Gartner die Samsung-Smartphones mit Knox-Unterstützung. Sie werden in dreizehn Fällen mit „strong“ bewertet, während iOS 11 nur sieben Mal die Bestnote erhält. Auch im Unternehmensbereich führen Knox-Smartphones laut Gartner. Von den von Gartner überprüften zwölf Funktionen im Bereich „Corporate Managed-Security“ erreicht Samsung Knox zu 100 Prozent die Bewertung „strong“, während unter iOS 11 nur fünf von zwölf Kriterien mit „strong“ bewertet werden.
Weitere Informationen zum Thema Sicherheit bietet der Beitrag: „Smartphones in Unternehmen: Diese Security-Maßnahmen gilt es zu beachten„.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…
Darunter ist ein weiterer Sandbox-Escape. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und…
Sie steigt auf 8 Prozent Wachstum in diesem Jahr. Der Bereich IT-Services wächst in diesem…
