News vom 16.04.2018

Angaben zu Sicherheitsupdates irreführend

Ein Artikel von , veröffentlicht am 16.04.2018

Dem Datum zu Sicherheitsupdates auf Android-Handys können Sie nicht immer trauen. Manchmal fehlen einige der sogenannten „Patches“, mit denen Hersteller neu entdeckte Sicherheitslücken ihrer Geräte stopfen. Dabei scheinen einige Hersteller die Nutzer bewusst zu täuschen.

Anders als es das Datum zum Stand der Sicherheitsupdates suggeriert, fehlen mitunter mehrere kleinere Anpassungen der Android-Software, sogenannte „Patches“. Das haben Sicherheitsforscher des deutschen IT-Unternehmens Security Research Lab herausgefunden und ihre Ergebnisse auf der Amsterdamer Konferenz Hack in the Box präsentiert.

Sicherheits-Patches stellt Android bereit. Jedes dieser Patches erhält als Name das Datum, an dem es zuerst veröffentlicht wird. Hersteller passen sie im Anschluss an die jeweiligen Gerätemodelle an und stellen sie den Nutzern zur Verfügung, mitunter mit erheblicher Verzögerung. Welches dieser Patches man zuletzt erhalten hat, kann man im Gerät nachsehen unter dem Punkt "Sicherheitspatch-Level", in den Geräteeinstellungen meistens zu finden unter dem Punkt "Über dieses Handy".

Das Datum bei diesem Menüpunkt zeigt also nicht an, wann man ein Patch tatsächlich erhalten hat, sondern von wann dieses Patch ist.

Die Berliner Forscher haben die Betriebssystem-Software von 1.200 neueren Android-Geräten analysiert. Dabei haben sie untersucht, welche der 2017 veröffentlichten Android-Patches tatsächlich auf dem Gerät vorhanden waren und wie sich das mit dem vom Gerät angezeigtem Datum des Sicherheitslevels deckte.

Fehlende Sicherheitsupdates

Einzelne Hersteller scheinen die Nutzer dabei gezielt im größeren Stil zu täuschen: sie ändern das Datum des letztes Sicherheitsupdates, ohne dass sie tatsächlich die verfügbaren Anpassungen aus dieser Zeit vornehmen. Die Forscher haben die Hersteller in vier Kategorien eingeteilt, je nach Zahl der durchschnittlich fehlenden Patches auf den Geräten:

  • 0-1 fehlende Patches: Google, Sony, Samsung, Wiko
  • 1-3 fehlende Patches: Xiaomi, Oneplus, Nokia
  • 3-4 fehlende Patches: HTC, Huawei, LG, Motorola
  • 4 und mehr fehlende Patches: TCL, ZTE

Die Forscher entdeckten zudem einen Zusammenhang zwischen der Zahl fehlender Android-Updates und dem eingebauten Prozessor, über den Geräte-Software und -Hardware miteinander kommunizieren.

Geräte mit Prozessoren von Samsung schnitten am besten ab. Sie wiesen durchschnittlich weniger als 0,5 fehlende Patches auf. Samsung ist ein wichtiger Hersteller von Smartphone-Prozessoren. Bei Geräten mit Quallcom-Prozessoren lag der Wert etwa doppelt so hoch (1,1). Eine große Update-Lücke (9,7 fehlende Patches) fanden die Forscher bei Geräten mit Prozessoren des taiwanischen Herstellers MediaTek.

Patches sorgen für Sicherheit

Android-Sicherheitsupdates sind für die Sicherheit eines Geräts essentiell. Sie schließen Sicherheitslücken, die Cyberkriminelle oder Geheimdienste ausnutzen könnten. Dass ein oder mehrere solcher Updates fehlen, heiße nicht zwangsläufig, dass ein Android-Gerät ernsthaft verwundbar ist, meint Karsten Nohl von Security Research Lab gegenüber dem IT-Magazin Wired. Android verfüge über ein komplexes Sicherheitssystem, das einzelne Schwächen ausgleichen könne. Dennoch reduziere jedes fehlende Update die Sicherheit.

Analyse-App checkt Stand des Geräts

Security Research Lab bietet in der kostenlosen Analyse-App SnoopSnitch eine Funktion an, mit der sich der tatsächliche Stand von Sicherheitsupdates auf dem eigem Gerät testen lässt. Die App ist leider nur auf Englisch verfügbar. Nachdem Sie Ihr Gerät mit der Analyse-App getestet haben, empfehlen wir, die App wieder zu deinstallieren.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

Ratgeber: Browser Chrome richtig einstellen (Android)

Der Browser Chrome von Google ist auf den meisten Android-Geräten vorinstalliert. Er ist benutzerfreundlich, schützt die Privatsphäre aber nur sehr eingeschränkt. Mit diesen Einstellungen können Sie das Datenschutzniveau zumindest etwas verbessern.

Mehr
Ratgeber 

Facebook unterwegs: Zugriffsrechte, Tracking, Akkulaufzeit

Für viele Nutzer ist Facebook der wichtigste Dienst auf dem Smartphone. Das Problem: Die Facebook-App verlangt viele Zugriffsrechte und verbraucht Akku und Speicherplatz. Die meisten dieser Probleme lassen sich lösen – wir erklären, wie.

Mehr
Checkliste 

Checkliste: Neues Handy kaufen – unsere Tipps (Android)

Mit einem Smartphone unter dem Weihnachtsbaum oder auf dem Geburtstagstisch sorgen Sie garantiert für leuchtende Augen. Aber nicht alle Geräte bringen von Haus aus die gleichen Sicherheitsfunktionen mit. Auf die folgenden Merkmale können Sie achten.

Mehr
Ratgeber 

Mobilsicher 2017: Unsere Top 10

Mehr als 200 Mobilsicher-Artikel sind in diesem Jahr erschienen: Hintergrundtexte, App-Tests, Anleitungen, Erklärvideos und aktuelle Meldungen zu Sicherheitslücken, Betrugsmaschen und vielem anderen. Diese zehn Texte haben unsere Leser und Leserinnen 2017 am meisten interessiert.

Mehr