Categories: Mobile Mobile OS

Android-Patchday: Juni-Update behebt acht kritische Sicherheitslücken

Google hat Details zum Juni-Patchday seines Mobilbetriebssystems Android veröffentlicht. Wie immer unterteilt es die Sicherheitsupdates auf zwei Level. Der Patch-Level 1. Juni schließt insgesamt elf Sicherheitslücken, von denen vier mit kritisch eingestuft sind. Letztere erlauben das Einschleusen und Ausführen von Schadcode. Betroffen sind die OS-Versionen 7.x Nougat, 8.x Oreo und 9 Pie. Weitere elf Schwachstellen schließt der Patch-Level 5. Mai, wovon ebenfalls vier als kritisch eingestuft sind.

Für die Pixel-Smartphones stehen die Updates als Stock-Image bereits zur Verfügung. Auch Over-The-Air (OTA) wird die Aktualisierung bereits ausgeliefert.

Updates anderer Hersteller

Neben Google veröffentlichen auch einige Smartphone-Hersteller monatliche Sicherheitshinweise, die Angaben über die in ihren Geräten gefundenen Schwachstellen enthalten. Diesen Monat berichtet beispielsweise Samsung über insgesamt 11 Lücken, von denen mindestens eine mit kritisch eingestuft sind. Aus Sicherheitsgründen nennt Samsung jedoch keine Details zu den kritischen Schwachstellen, um keine zusätzlichen Anreiz für Cyberkriminelle zu bieten.

Der weltgrößte Smartphonehersteller beginnt mit der Auslieferung der Sicherheitspatches erfahrungsgemäß etwa zwei Wochen nach der Veröffentlichung der neuesten Android-Sicherheitsbulletins. Zudem beinhalten die monatlichen Updates der Smartphoneherstellern wie Samsung nur den ersten Patch-Level. Sicherheitslücken, die Google im Patch-Level 5. Juni beschreibt, werden in der Regel einen Monat später geschlossen.

Monatliche Sicherheitsupdates liefert Samsung nur für bestimmte Smartphone-Modelle aus. In der Regel erhalten monatliche Sicherheitsupdates Geräte, die nicht älter als drei Jahre sind. Im April hatte Samsung angekündigt, dass Galaxy S7 und S7 Edge nur noch alle drei Monate Sicherheitsupdates erhalten. Zuvor wurden die Geräte drei Jahre lang monatlich aktualisiert.

Auch Huawei veröffentlicht seit 2018 monatliche Sicherheitshinweise, die allerdings in der Regel nur Angaben über die die von Google veröffentlichten Android-Schwachstellen enthalten. Informationen zu Lücken, die nur Huawei-Smartphones betreffen, veröffentlicht der Konzern in unregelmäßigen Abständen.

Sicherheit von Smartphones

Sicherheitspatches sind eine wichtige Komponente, um Smartphones vor Angriffen Cyberkrimineller zu schützen. Weitere Sicherheitsschichten wie ein Sandboxing von Anwendungen und Sicherheitsservices wie etwa Google Play Protect sind gleichermaßen wichtig, wie Google in einem Blog erläutert. I

Insgesamt hat sich das Sicherheitsniveau von Android-Smartphones in den letzten Jahren erheblich verbessert. Das bestätigt auch der deutsche Sicherheitsforscher Karsten Nohl in einem Interview mit Spiegel-Online: „Android als Technologie ist in den letzten Jahren sehr viel sicherer geworden, vermutlich sogar sicherer als Windows.“ Apple habe jedoch mit iOS den Vorteil, dass es Updates zentral verteilen kann. Bei Android hingegen, werde ein Patch von Google über den Chiphersteller an den Smartphone-Hersteller weitergeleitet. Damit diese Updates aber auch beim Nutzer ankommen, müssen sie noch über die Mobilfunkanbieter ausgerollt werden. Dabei können Updates natürlich schneller auf der Strecke bleiben.

Trotz fehlender Updates sei es für Angreifer inzwischen sehr schwierig, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt. Auch bedeutete ein fehlender Patch noch nicht, dass der Fehler auch ausgenutzt werden könne. Nohl erklärt daher, „Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken.“ Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen statt dessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“

Smartphone-Sicherheit: Android vor iOS

Laut einer Untersuchung von Gartner liegt Android inzwischen in Sachen Sicherheit sogar vor iOS, wobei Geräte von Samsung durch die Sicherheitslösung Knox am besten geschützt sind. Von den von Gartner überprüften zwölf Funktionen im Bereich „Corporate Managed-Security“ erreicht Samsung Knox zu 100 Prozent die Bewertung „strong“, während unter iOS 11 nur 5 von 12 Parameter mit „strong“ bewertet werden. Bei den von Gartner überprüften 16 Geräte-Sicherheitsfunktion erreicht Samsung Knox in dreizehn Fällen die Bewertung „strong“, während iOS 11 nur sieben Mal die Bestnote erhält. Auch generell holt Android laut Gartner gegenüber iOS auf. Während Smartphones mit Android 7 und fünf „strong“-Bewertungen der iOS-Plattform noch unterlegen waren, erreichen Smartphones mit Android 8 11-mal die Bestnote und ziehen damit am iPhone vorbei. Daten zu Android 9 und iOS 12 hat Gartner noch nicht veröffentlicht.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Box Shield: Box erweitert Content Management um native Sicherheitskontrollen

Mit Box Shield erhalten Kunden eine Bedrohungserkennung auf Basis von maschinellem Lernen sowie die Möglichkeit, klassifizierungsbasierte Sicherheitsrichtlinien festzulegen.

1 Stunde ago

Galaxy S10 5G funkt ab sofort im 5G-Netz von Vodafone

Dank eines Software-Updates ist das Galaxy S10 5G nun für das 5G-Netz von Vodafone geeignet. 5G steht bereits an über…

2 Stunden ago

Ultra One: Porsche Design bringt neues Ultrabook

Das 15,6-Zoll-Modell soll ab Mitte September in Deutschland erhältlich sein. In der Standardkonfiguration mit Core i5-8200Y, 8GByte RAM und 512…

4 Stunden ago

Galaxy Note 10: 1,3 Millionen Vorbestellungen in Korea

Das sind doppelt so viele wie beim Galaxy Note 9. Das beliebteste Modell während der Vorbestellungszeit war die 256-Gigabyte-Variante Galaxy…

6 Stunden ago

Umweltbundesamt stellt Luftqualitäts-App vor

Wie die Luft in der Umgebung des Nutzers ist, verrät nun zumindest in Deutschland eine App, die das Umweltbundesamt vorgestellt…

8 Stunden ago

YubiKey 5Ci: Sicherheitsschlüssel für USB-C und Lightning

Yubico hat einen neuen Hardware-Security Key auf den Markt gebracht, der mit gleich zwei Steckern ausgerüstet ist: USB-C auf der…

10 Stunden ago