Sicherheitspatches

Gefakte Android-Sicherheitsupdates (Update)

Die Sicher­heits­firma Secu­rity Rese­arch Labs deckt auf, dass manche Sicher­heits­updates nur auf dem Papier ausge­liefert werden. Beson­ders kritisch sieht es bei Mobil­geräten mit MediaTek-SoCs aus.
AAA
Teilen (4)

Die Sicher­heit von Android-Smart­phones durch regel­mäßige Updates ist bei den von Google vermark­teten Pixel-Mobil­geräten sowie den Produkten der Part­nerpro­gramme Anroid One und Android Go am höchsten. Mobil­tele­fone, die vom Hersteller selbst vertrieben werden und kein Teil der zuvor genannten Initia­tiven sind, bergen ein größeres Risiko für den Anwender. Wie groß dieses Risiko ist, hängt vom jewei­ligen Unter­nehmen und vom verwen­deten Chip­satz ab. Neben dem bekannten Problem, dass viele Geräte oft schon recht kurz nach Markt­einfüh­rung keine Sicher­heits­updates mehr erhalten, haben die Sicher­heits­experten von Secu­rity Rese­arch Labs (SRL) auch das neue Problem aufge­deckt, dass Sicher­heits­updates nur auf dem Papier durch­geführt werden: Dabei wird der auf dem Gerät ange­zeigte Update-Stand zwar aktua­lisiert, die eigent­lichen Updates aber dennoch ausge­lassen. SRL hat detail­liert aufge­listet, welche Konzerne am häufigsten derart bei den Sicher­heits­patches patzen.

Update-Fehler nach Hersteller

Android-Patch-Verteilung nach Hersteller und SoCAndroid-Patch-Verteilung nach Hersteller und SoC SRL führte eine Analyse der Firm­ware von 1200 Smart­phones von mehr als einem Dutzend Hersteller durch. Dabei wurden alle Android-Patches berück­sich­tigt, die im Jahr 2017 erschienen sind. So sollen Google, Sony, Samsung und Wiko jeweils nur maximal eine Aktua­lisie­rung verpasst haben. Bei Xiaomi, OnePlus und Nokia (HMD Global) wurden im Schnitt ein bis drei Updates über­sprungen. Um HTC, Huawei, LG und Moto­rola (Lenovo) ist es mit drei bis vier nicht verteilten Sicher­heits­patches weniger gut bestellt. Beson­ders kritisch sei die Lage bei den chine­sischen Firmen TCL und ZTE. Bei deren Mobil­tele­fonen sollen jeweils mindes­tens vier Updates über­sprungen worden sein.

Update-Lücken aufge­schlüs­selt nach Chip­satz

Im Smart­phone-Sektor buhlen bekann­termaßen mehrere SoC-Hersteller um die Gunst der Handy­hersteller. Dabei sind die Chip­sätze von Qual­comm am meisten präsent, dennoch verpassen Nutzer mit einer Platt­form dieses Halb­leiter­ferti­gers im Schnitt 1,1 Patches, während es bei Samsung nur 0,5 sind. Huawei setzt auf seine haus­eigene Prozes­sorschmiede HiSilicon und macht bei seinen Handys bezüg­lich der Updates noch einen guten Job. Im Schnitt gehen 1,9 Patches an den Anwen­dern vorbei. MediaTek hingegen ist weit abge­schlagen hinter der Konkur­renz, Mobil­geräte mit einem SoC dieses Unter­nehmens müssen im Schnitt auf 9,7 Aktua­lisie­rungen verzichten.

Patch Gap: gViele Hersteller tricksen bei den Updates

Am Freitag fand die Sicher­heits­konfe­renz Hack in the Box in Amsterdam statt, bei der auch Karsten Nohl und Jakob Lell vom deut­schen Institut Secu­rity Rese­arch Labs zugegen waren. Sie demons­trierten die Ergeb­nisse von zwei Jahre lang durch­geführtem Reverse Engi­neering. Das Team durch­stöberte den System-Code von Hunderten Smart­phones und über­prüfte sorg­fältig, ob die in den Einstel­lungen ange­gebenen Sicher­heits­patches der Wahr­heit entspre­chen. Das Resultat beti­telt SRL als „Patch Gap“. So würden einige Hersteller den Nutzern vorma­chen, dass alle Patches bis zu einem bestimmten Datum instal­liert wurden, während in der Realität bis zu einem Dutzend Aktua­lisie­rungen fehlten. „Wir fanden heraus, dass es eine Lücke auf einem Mobil­gerät zwischen der Behaup­tung des jewei­ligen Patches und der tatsäch­lich instal­lierten Version gibt.“, so Nohl. Doch die Misere geht noch weiter. „Manchmal ändern die Verant­wort­lichen einfach das Datum, ohne irgend­einen Patch aufzu­spielen. Mögli­cher­weise aus Marke­ting­gründen setzen sie den Patch-Level auf ein will­kürli­ches Datum, das am besten aussieht.“ Dieses Verhalten sei aller­dings nicht weit verbreitet.

Weitere Unge­reimt­heiten bei den Sicher­heits­patches

Karsten Nohl geht davon aus, dass Firmen wie Sony und Samsung ein oder zwei Sicher­heits­updates verse­hent­lich ausge­lassen haben. Aller­dings beob­achtete der SRL-Mitar­beiter auch manche schwer zu erklä­rende Vorgänge beim südko­reani­schen Smart­phone-Markt­führer. Beispiels­weise habe das Galaxy J5 (2016) ehrlich Auskunft über die aufge­spielten und verpassten Patches gegeben, wohin­gegen das Galaxy J3 (2016) angab, alle Aktua­lisie­rungen in 2017 erhalten zu haben, was aber nicht zutrifft. Das Galaxy J3 (2016) erhielt zwölf Patches nicht, wovon zwei als kritisch für den Schutz des Handys ange­sehen werden. Nohls Fazit lautet daher „Es ist fast unmög­lich für den User zu wissen, welche Patches bei ihm instal­liert sind.“ Um diese Unge­wiss­heit aus der Welt zu schaffen, hat SRL Labs eine App namens SnoopSnitch entwi­ckelt (Down­load hier). Das Programm teilt den tatsäch­lichen Status der Sicher­heits­levels mit.

Googles Meinung zur Patch Gap

Die Webseite WIRED, durch die wir auf den Bericht der deut­schen Sicher­heits­forscher aufmerksam wurden, wandte sich betref­fend der Update-Proble­matik an Google. Der Such­maschinen-Konzern begrüßt zwar die Studie, merkt aller­dings an, dass einige der analy­sierten Geräte keine Android-zerti­fizierten Produkte waren und sie deshalb nicht den Sicher­heits­stan­dards entspre­chen. Des Weiteren verlaut­bart Google, dass aktu­elle Android-Mobil­geräte eine hohe Sicher­heit hätten, selbst wenn sie nicht gepatcht seien. „Die Sicher­heits­updates sind eine von mehreren Schichten, die Android-Mobil­geräte und die Anwender schützen“, teilt Scott Roberts, Chef der Android-Produkt­sicher­heit, mit. Er verweist auf Google Play Protect und die App-Sandbox. All diese Maßnahmen würden es Angrei­fern schwer machen, ein Smart­phone oder Tablet zu hacken. Nohl stimmt Google zu und meint, dass die Zahl solcher Vorfälle in der Tat sehr niedrig sei. SRL Labs und der Android-Anbieter wollen zusam­menar­beiten, um die entdeckten Sicher­heits­probleme weiter zu unter­suchen.

Update 17. April: Stel­lung­nahme von Samsung

In Reak­tion auf diesen Bericht sandte uns Samsung die folgende Stel­lung­nahme:

Samsung nimmt das Thema Sicher­heit sehr ernst. Alle unsere Produkte und Support­verfahren sind darauf ausge­legt. Nachdem wir die vermeint­lich nicht ausge­rollten Sicher­heits­patches in Zusam­menar­beit mit Google über­prüft haben, können wir berichten, dass das Galaxy J3 (2016) diese Sicher­heits­updates erhalten hat. Wir werden weiterhin eng mit unseren Part­nern zusam­menar­beiten, um Soft­ware- und Sicher­heits­updates für unsere Geräte auszu­liefern. Bei Fragen bitten wir unsere Kunden, sich an den Samsung-Kunden­service unter 06196 77 555 66 zu wenden (Kosten laut Kondi­tionen des Vertrags­part­ners für Fest­netz­anschlüsse oder Mobil­funk­anschlüsse. Service­zeiten: Montag bis Freitag: 08:00-21:00 Uhr, Samstag: 09:00-17:00 Uhr) oder unter samsung.com.

Ende des Updates.

Teilen (4)

Mehr zum Thema Datensicherheit Smartphone