Sicherheitspatches: Hersteller von Android-Smartphones gaukeln Sicherheit vor

Wer ein Smartphone mit einem aktuellen Patch-Level hat, kann sich nicht darauf verlassen, dass wirklich alle bisher gefundenen Sicherheitslücken beseitigt sind. Entweder können alte Patches fehlen oder der Hersteller verteilt ein funktionsloses Sicherheitsupdate, bei dem nur das Datum aktualisiert wurde, ohne dass neue Lücken beseitigt wurden. Das ergibt eine Untersuchung des deutschen IT-Sicherheitsunternehmens Security Research Labs. Weitere Details liefert ein Artikel von The Wired. Im Laufe des Tages wird es dazu außerdem einen Vortrag auf der Hitbsecconf 2018 in Amsterdam geben.

Bisher ist es schon ein Ärgernis gewesen, dass Gerätehersteller den jeweils aktuellen Sicherheitspatch für ihre Kunden erst stark verzögert anbieten. Google stellt Patches für das Android-Betriebssystem im Monatsrhythmus bereit. Jeder Hersteller entscheidet dabei selbst, wann ein Patch veröffentlicht wird. Bei so manchem Hersteller hinken die Geräte bezüglich des Patch-Levels mehrere Monate hinterher.

1.200 Android-Smartphones untersucht

Wie die aktuelle Untersuchung zeigt, können sich Besitzer von Android-Smartphones allerdings nicht darauf verlassen, dass alle Lücken geschlossen sind, die bis zum jeweiligen Patch-Datum beseitigt sein sollten. "Manchmal ändern die Hersteller einfach das Datum, ohne irgendwelche Patches zu installieren. Vermutlich haben sie aus Marketinggründen den Patch-Level auf ein bestimmtes Datum gesetzt, das am besten aussieht", sagte Karsten Nohl von Security Research Labs. Die Sicherheitsforscher haben dazu die Firmware von 1.200 Android-Smartphones von mehr als einem Dutzend Herstellern überprüft.

In anderen Fällen wurden einfach Sicherheitspatches übersprungen und die damit eigentlich zu beseitigenden Fehler wurden nicht korrigiert. Dem Anwender wird das Gefühl vermittelt, sein Gerät sei abgesichert, auch wenn das gar nicht der Fall ist.

Die Sicherheitsforscher von Security Research Labs betonen, dass die aktuellen Erkenntnisse nicht unbedingt bedeuten müssen, dass Geräte besonders anfällig für Angriffe sind. Allerdings ist das Sicherheitsniveau entsprechend verringert, wenn Sicherheitslücken nicht geschlossen sind.

Android ist an sich gut gegen Angriff geschützt

Moderne Betriebssysteme nutzen verschiedene Sicherheitsbarrieren, wie etwa ASLR oder Sandboxing. Diese müssen erst einmal umgangen werden, um ein Smartphone aus der Ferne hacken zu können. Aufgrund der Komplexität solcher Angriffe reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Fehler miteinander verzahnt ausgenutzt werden.

• 

Legende: Tabelle zeigt Durchschnitt der fehlenden Critical- und High-Severity-Patches. Samples - Few: 5 bis 9; Many: 10 bis 49; Lots: mehr als 50. Nicht alle Patch-Tests sind immer aussagekräftig - die tatsächliche Anzahl fehlender Patches kann höher sein. Nicht alle Patches sind in unseren Tests enthalten, so dass die tatsächliche Anzahl noch höher sein kann. (Bild: Security Research Labs)

Security Research Labs hat in einer Grafik aufgeschlüsselt, welche Gerätehersteller in welcher Häufigkeit beim Schummeln erwischt wurden. Oft hänge es vom jeweiligen Gerät ab, ob ein Hersteller korrekte Angaben mache. Die Untersuchung hat etwa ergeben, dass Samsung beim Galaxy J5 von 2016 korrekt angibt, welche Patches installiert sind und welche noch fehlen. Beim Galaxy J3 von 2016 ist es ganz anders. Hier fehlen 12 Updates, obwohl der Hersteller anderes angibt.

Die Anwender können mit der aktuellen Version der Android-App Snoopsnitch überprüfen, ob alle Sicherheitspatches auf dem Android-Gerät installiert wurden.

Smartphones mit Mediatek-Prozessor eher betroffen

Ein Indiz für die Menge fehlender Patches ist der Prozessorhersteller. Denn abhängig davon erhöht sich das Risiko, dass Sicherheitspatches überprungen wurden. Besonders viele fehlen bei Smartphones mit Mediatek-Prozssoren. Das kann zum einen damit zu tun haben, dass die Prozessoren eher in preisgünstigen Geräten verwendet werden, die weniger intensiv aktualisiert werden.

Ein anderer Grund ist, dass manche Sicherheitslücken im Prozessor selbst stecken und der Gerätehersteller darauf angewiesen ist, dass der Prozessorhersteller Patches anbietet. Hier ist Mediatek oft dabei, wenn es darum geht, dass diese nicht bereitgestellt werden. Deutlich besser schneiden Geräte mit Qualcomm-, Samsung- oder Huawei-Prozessor bei der Patch-Versorgung ab, wobei die Geräte mit Samsung-Prozessor besonders gute Werte erzielen.

Google hat bereits auf die Untersuchungsergebnisse reagiert und weist darauf hin, dass einige der getesteten Geräte nicht von Google zertifiziert seien. Manchmal fehle ein Patch deshalb, weil der Gerätehersteller sich entschieden habe, die betreffende Funktion nicht zu unterstützen oder ganz abzuschalten, anstatt einen Patch bereitzustellen. Dies betreffe nach Aussage von Nohl aber nur eine geringe Zahl der untersuchten Geräte. Google wolle die Ergebnisse in jedem Fall mit Security Research Labs durchgehen.