Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
News vom 16.04.2018

Angaben zu Sicherheitsupdates irreführend

Ein Artikel von , veröffentlicht am 16.04.2018

Dem Datum zu Sicherheitsupdates auf Android-Handys können Sie nicht immer trauen. Manchmal fehlen einige der sogenannten „Patches“, mit denen Hersteller neu entdeckte Sicherheitslücken ihrer Geräte stopfen. Dabei scheinen einige Hersteller die Nutzer bewusst zu täuschen.

Anders als es das Datum zum Stand der Sicherheitsupdates suggeriert, fehlen mitunter mehrere kleinere Anpassungen der Android-Software, sogenannte „Patches“. Das haben Sicherheitsforscher des deutschen IT-Unternehmens Security Research Lab herausgefunden und ihre Ergebnisse auf der Amsterdamer Konferenz Hack in the Box präsentiert.

Sicherheits-Patches stellt Android bereit. Jedes dieser Patches erhält als Name das Datum, an dem es zuerst veröffentlicht wird. Hersteller passen sie im Anschluss an die jeweiligen Gerätemodelle an und stellen sie den Nutzern zur Verfügung, mitunter mit erheblicher Verzögerung. Welches dieser Patches man zuletzt erhalten hat, kann man im Gerät nachsehen unter dem Punkt "Sicherheitspatch-Level", in den Geräteeinstellungen meistens zu finden unter dem Punkt "Über dieses Handy".

Das Datum bei diesem Menüpunkt zeigt also nicht an, wann man ein Patch tatsächlich erhalten hat, sondern von wann dieses Patch ist.

Die Berliner Forscher haben die Betriebssystem-Software von 1.200 neueren Android-Geräten analysiert. Dabei haben sie untersucht, welche der 2017 veröffentlichten Android-Patches tatsächlich auf dem Gerät vorhanden waren und wie sich das mit dem vom Gerät angezeigtem Datum des Sicherheitslevels deckte.

Fehlende Sicherheitsupdates

Einzelne Hersteller scheinen die Nutzer dabei gezielt im größeren Stil zu täuschen: sie ändern das Datum des letztes Sicherheitsupdates, ohne dass sie tatsächlich die verfügbaren Anpassungen aus dieser Zeit vornehmen. Die Forscher haben die Hersteller in vier Kategorien eingeteilt, je nach Zahl der durchschnittlich fehlenden Patches auf den Geräten:

  • 0-1 fehlende Patches: Google, Sony, Samsung, Wiko
  • 1-3 fehlende Patches: Xiaomi, Oneplus, Nokia
  • 3-4 fehlende Patches: HTC, Huawei, LG, Motorola
  • 4 und mehr fehlende Patches: TCL, ZTE

Die Forscher entdeckten zudem einen Zusammenhang zwischen der Zahl fehlender Android-Updates und dem eingebauten Prozessor, über den Geräte-Software und -Hardware miteinander kommunizieren.

Geräte mit Prozessoren von Samsung schnitten am besten ab. Sie wiesen durchschnittlich weniger als 0,5 fehlende Patches auf. Samsung ist ein wichtiger Hersteller von Smartphone-Prozessoren. Bei Geräten mit Quallcom-Prozessoren lag der Wert etwa doppelt so hoch (1,1). Eine große Update-Lücke (9,7 fehlende Patches) fanden die Forscher bei Geräten mit Prozessoren des taiwanischen Herstellers MediaTek.

Patches sorgen für Sicherheit

Android-Sicherheitsupdates sind für die Sicherheit eines Geräts essentiell. Sie schließen Sicherheitslücken, die Cyberkriminelle oder Geheimdienste ausnutzen könnten. Dass ein oder mehrere solcher Updates fehlen, heiße nicht zwangsläufig, dass ein Android-Gerät ernsthaft verwundbar ist, meint Karsten Nohl von Security Research Lab gegenüber dem IT-Magazin Wired. Android verfüge über ein komplexes Sicherheitssystem, das einzelne Schwächen ausgleichen könne. Dennoch reduziere jedes fehlende Update die Sicherheit.

Analyse-App checkt Stand des Geräts

Security Research Lab bietet in der kostenlosen Analyse-App SnoopSnitch eine Funktion an, mit der sich der tatsächliche Stand von Sicherheitsupdates auf dem eigem Gerät testen lässt. Die App ist leider nur auf Englisch verfügbar. Nachdem Sie Ihr Gerät mit der Analyse-App getestet haben, empfehlen wir, die App wieder zu deinstallieren.

Weitere Artikel

Ratgeber 

Tracking in Apps: Das können Sie tun (Android)

Viele Apps enthalten Software-Bausteine von Drittanbietern, zum Beispiel von Tracking- oder Werbefirmen. Von außen sieht man das allerdings nicht. Wir geben Tipps, wie Sie Apps mit unliebsamen Modulen vermeiden können.

Mehr
Ratgeber 

Wie sicher ist Bezahlen per NFC?

Kontaktloses Bezahlen an der Kasse funktioniert fast überall - per Bankkarte oder per Handy. In manchen Punkten ist eine NFC-App sogar sicherer als eine EC- oder Kreditkarte. In unserem Ratgeber erfahren Sie, worauf Sie beim Bezahlen mit dem Handy achten sollten.

Mehr
Ratgeber 

App-Berechtigungen anzeigen und verwalten

Ab der Android-Version 6.0 (Marshmallow) können Nutzer die Zugriffsrechte von Apps zum Teil selbst zuteilen – oder verweigern. Ein großer Fortschritt in Sachen Datenkontrolle. Wir zeigen, wo Sie die entscheidenden Punkte im App-Verwaltungsmenü finden.

Mehr
Reportage 

Erfahrungsbericht: Einmal durch Zürich ohne mobile Daten

Dass es im Ausland immer noch ohne mobile Daten geht, ist erstmal eine Herausforderung. Und dann befreiend.

Mehr