Android: Manche Smartphones täuschen Sicherheits-Updates vor

Auch wenn alle Sicherheits-Updates laut Firmware auf dem aktuellsten Stand sind, könnten bei manchen Android-Smartphones dennoch wichtige Patches fehlen. Das haben Sicherheitsforscher herausgefunden.

Android Sicherheitsupdate — Auf manchen Android-Smartphones sind nicht alle versprochenen Sicherheits-Updates installiert.

Wenn das Datum des letzten Sicherheits-Updates noch nicht lange zurück liegt, scheint auf dem Smartphone alles in bester Ordnung zu sein. Doch das kann täuschen. Wie Sicherheitsforscher herausgefunden haben, können auf Android-Smartphones trotz aktuellem Update-Datum wichtige Sicherheits-Patches fehlen.

Karsten Nohl und Jakob Lell von Security Research Labs haben die Firmware von 1200 Smartphones auf alle Android Sicherheits-Patches hin untersucht, die 2017 erschienen sind. Sie kamen zu dem Ergebnis, dass Smartphones von fast allen Herstellern vorgeben, Patches zu besitzen, die tatsächlich nie installiert wurden.

In einigen Fällen sieht es dabei tatsächlich nach bewusster Täuschung aus, so die Forscher gegenüber Wired. Einige Hersteller hatten offenbar das Datum des letzten Sicherheits-Updates aktualisiert, ohne einen einzigen Patch installiert zu haben. In anderen Fällen sei es wohl eher unbeabsichtigt passiert, dass bei der Installation eines Updates ein oder zwei Patches ausgelassen wurden.

Neben Google selbst schnitten Samsung, Sony und Wiko bei den Stichproben am besten ab. Sie hatten im Schnitt höchstens einen fehlenden Patch. Bei anderen Herstellern, etwa OnePlus, Nokia, Huawei und HTC waren es zwischen ein und vier Patches, die fehlten, obwohl sie installiert sein sollten. Am schlechtesten schnitten TCL und ZTE mit mehr als vier fehlenden Patches ab.

+++ Update (16.04.2018): Gegenüber connect meldete sich ein Sprecher von Nokia mit der Aussage: „Wir integrieren alle Patches, die Google und die Prozessorhersteller bereitstellen. Was wir nicht integrieren, sind Patches von Chipsätzen, die nicht in unseren Geräten enthalten sind.“ +++

Einzelne Sicherheitslücken stellen kein übermäßiges Risiko dar

Google gab gegenüber Wired an, man würde zusammen mit Security Research Labs die gefundenen Ergebnisse untersuchen. Der Android-Hersteller gab zu bedenken, dass manche Smartphone-Hersteller anstatt eine Sicherheitslücke zu schließen möglicherweise einfach die betroffene Funktion entfernt hätten. Auch seien bei machen Smartphones bestimmte Funktionen von vornherein nicht installiert, so dass ein Patch an der Stelle nicht nötig sei. Dies könne aber aber nur einen kleinen Teil der Ergebnisse erklären, so die Forscher.

Mit Google einer Meinung sind die Sicherheitsforscher dagegen bei der Einschätzung, dass eine geringe Zahl an ungepatchten Sicherheitslücken noch kein übermäßiges Risiko für einen Hacker-Angriff darstelle. Android selbst hat etwa durch Google Play Protect und andere Features eigene Mechanismen, die den Exploit einer einzelnen Lücke schwierig machen. Dennoch könnte eine bekannte Sicherheitslücke, die nicht geschlossen wurde, Teil eines Puzzles sein, das einem Angreifer den Weg ebnet. Somit sei jeder erfolgte Patch eine weitere Schutzschicht für das Smartphone.

Die Forscher wollen ihre Ergebnisse am Freitag, den 13. April, auf der Hack in the Box Sicherheitskonferenz in Amsterdam vorstellen. Die App SnoopSnitch von Security Research Labs soll herausfinden können, welche Sicherheits-Patches tatsächlich auf dem Smartphone installiert sind.

+++ Der Originalartikel stammt vom 13.04.2018. Wir haben den Artikel am 16.04.2018 mit einem Statement von Nokia ergänzt. +++

16.4.2018 von Gabriele Fischl