Fehlende Patches

Android: Manche Smartphones täuschen Sicherheits-Updates vor

Auch wenn alle Sicherheits-Updates laut Firmware auf dem aktuellsten Stand sind, könnten bei manchen Android-Smartphones dennoch wichtige Patches fehlen. Das haben Sicherheitsforscher herausgefunden.

Android Sicherheitsupdate

© Android / TAlex - fotolia.com / Montage: connect

Auf manchen Android-Smartphones sind nicht alle versprochenen Sicherheits-Updates installiert.

Wenn das Datum des letzten Sicherheits-Updates noch nicht lange zurück liegt, scheint auf dem Smartphone alles in bester Ordnung zu sein. Doch das kann täuschen. Wie Sicherheitsforscher herausgefunden haben, können auf Android-Smartphones trotz aktuellem Update-Datum wichtige Sicherheits-Patches fehlen.

Karsten Nohl und Jakob Lell von Security Research Labs haben die Firmware von 1200 Smartphones auf alle Android Sicherheits-Patches hin untersucht, die 2017 erschienen sind. Sie kamen zu dem Ergebnis, dass Smartphones von fast allen Herstellern vorgeben, Patches zu besitzen, die tatsächlich nie installiert wurden.

In einigen Fällen sieht es dabei tatsächlich nach bewusster Täuschung aus, so die Forscher gegenüber Wired. Einige Hersteller hatten offenbar das Datum des letzten Sicherheits-Updates aktualisiert, ohne einen einzigen Patch installiert zu haben. In anderen Fällen sei es wohl eher unbeabsichtigt passiert, dass bei der Installation eines Updates ein oder zwei Patches ausgelassen wurden.

Neben Google selbst schnitten Samsung, Sony und Wiko bei den Stichproben am besten ab. Sie hatten im Schnitt höchstens einen fehlenden Patch. Bei anderen Herstellern, etwa OnePlus, Nokia, Huawei und HTC waren es zwischen ein und vier Patches, die fehlten, obwohl sie installiert sein sollten. Am schlechtesten schnitten TCL und ZTE mit mehr als vier fehlenden Patches ab.

+++ Update (16.04.2018): Gegenüber connect meldete sich ein Sprecher von Nokia mit der Aussage: „Wir integrieren alle Patches, die Google und die Prozessorhersteller bereitstellen. Was wir nicht integrieren, sind Patches von Chipsätzen, die nicht in unseren Geräten enthalten sind.“ +++

Einzelne Sicherheitslücken stellen kein übermäßiges Risiko dar

Google gab gegenüber Wired an, man würde zusammen mit Security Research Labs die gefundenen Ergebnisse untersuchen. Der Android-Hersteller gab zu bedenken, dass manche Smartphone-Hersteller anstatt eine Sicherheitslücke zu schließen möglicherweise einfach die betroffene Funktion entfernt hätten. Auch seien bei machen Smartphones bestimmte Funktionen von vornherein nicht installiert, so dass ein Patch an der Stelle nicht nötig sei. Dies könne aber aber nur einen kleinen Teil der Ergebnisse erklären, so die Forscher.

Mit Google einer Meinung sind die Sicherheitsforscher dagegen bei der Einschätzung, dass eine geringe Zahl an ungepatchten Sicherheitslücken noch kein übermäßiges Risiko für einen Hacker-Angriff darstelle. Android selbst hat etwa durch Google Play Protect und andere Features eigene Mechanismen, die den Exploit einer einzelnen Lücke schwierig machen. Dennoch könnte eine bekannte Sicherheitslücke, die nicht geschlossen wurde, Teil eines Puzzles sein, das einem Angreifer den Weg ebnet. Somit sei jeder erfolgte Patch eine weitere Schutzschicht für das Smartphone.

Die Forscher wollen ihre Ergebnisse am Freitag, den 13. April, auf der Hack in the Box Sicherheitskonferenz in Amsterdam vorstellen. Die App SnoopSnitch von Security Research Labs soll herausfinden können, welche Sicherheits-Patches tatsächlich auf dem Smartphone installiert sind.

+++ Der Originalartikel stammt vom 13.04.2018. Wir haben den Artikel am 16.04.2018 mit einem Statement von Nokia ergänzt. +++

Mehr zum Thema

Mobistel Cynus T6
Klage gegen MediaMarkt

Ein Smartphone mit kritischen Sicherheitslücken wurde bei MediaMarkt verkauft: Das hat eine Klage für eine Filiale in Köln zufolge.
Google Play Protect
Mehr Sicherheit für Android-Phones

Google Play Protect soll Android-Smartphone sicherer machen. Das Programm scannt Apps nach Malware und warnt vor unsicheren Anwendungen.
Trojaner im Netz
Vorsicht im Play Store

Der Android-Trojaner Loapi kann seine Opfer auf viele verschiedene Arten schädigen. Lesen Sie hier, was ihn so gefährlich macht.
Google Android Update
Android-Sicherheitsupdate

Mit dem Januar-Patch von Android schließt Google die aktuelle Spectre-Sicherheitslücke. Durch sie könnte man sicherheitsrelevante Daten auslesen.
Smartphone Sicherheit
Android-Malware

Einige Billig-Smartphones haben offenbar schon ab Werk einen Trojaner installiert. Eine Sicherheitsfirma hat über 40 betroffene Modelle identifiziert.
Alle Testberichte
Audio-Technica ATH ADX-5000
Over-Ear-Kopfhörer
Der ATH-ADX5000 von Audio-Technica ist mit seiner offenen Konstruktion eher für den Musikgenuss zu Hause gedacht. Wie klingt der Kopfhörer im Test?
Aquaris V BQ
Android-Smartphones
77,2%
Mit dem Aqua­ris V adressiert BQ preisbewusste Käufer. Was bietet das Smartphone für 250 Euro und wie gut schneidet es…
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.