News vom 16.04.2018

Angaben zu Sicherheitsupdates irreführend

Ein Artikel von , veröffentlicht am 16.04.2018

Dem Datum zu Sicherheitsupdates auf Android-Handys können Sie nicht immer trauen. Manchmal fehlen einige der sogenannten „Patches“, mit denen Hersteller neu entdeckte Sicherheitslücken ihrer Geräte stopfen. Dabei scheinen einige Hersteller die Nutzer bewusst zu täuschen.

Anders als es das Datum zum Stand der Sicherheitsupdates suggeriert, fehlen mitunter mehrere kleinere Anpassungen der Android-Software, sogenannte „Patches“. Das haben Sicherheitsforscher des deutschen IT-Unternehmens Security Research Lab herausgefunden und ihre Ergebnisse auf der Amsterdamer Konferenz Hack in the Box präsentiert.

Sicherheits-Patches stellt Android bereit. Jedes dieser Patches erhält als Name das Datum, an dem es zuerst veröffentlicht wird. Hersteller passen sie im Anschluss an die jeweiligen Gerätemodelle an und stellen sie den Nutzern zur Verfügung, mitunter mit erheblicher Verzögerung. Welches dieser Patches man zuletzt erhalten hat, kann man im Gerät nachsehen unter dem Punkt "Sicherheitspatch-Level", in den Geräteeinstellungen meistens zu finden unter dem Punkt "Über dieses Handy".

Das Datum bei diesem Menüpunkt zeigt also nicht an, wann man ein Patch tatsächlich erhalten hat, sondern von wann dieses Patch ist.

Die Berliner Forscher haben die Betriebssystem-Software von 1.200 neueren Android-Geräten analysiert. Dabei haben sie untersucht, welche der 2017 veröffentlichten Android-Patches tatsächlich auf dem Gerät vorhanden waren und wie sich das mit dem vom Gerät angezeigtem Datum des Sicherheitslevels deckte.

Fehlende Sicherheitsupdates

Einzelne Hersteller scheinen die Nutzer dabei gezielt im größeren Stil zu täuschen: sie ändern das Datum des letztes Sicherheitsupdates, ohne dass sie tatsächlich die verfügbaren Anpassungen aus dieser Zeit vornehmen. Die Forscher haben die Hersteller in vier Kategorien eingeteilt, je nach Zahl der durchschnittlich fehlenden Patches auf den Geräten:

  • 0-1 fehlende Patches: Google, Sony, Samsung, Wiko
  • 1-3 fehlende Patches: Xiaomi, Oneplus, Nokia
  • 3-4 fehlende Patches: HTC, Huawei, LG, Motorola
  • 4 und mehr fehlende Patches: TCL, ZTE

Die Forscher entdeckten zudem einen Zusammenhang zwischen der Zahl fehlender Android-Updates und dem eingebauten Prozessor, über den Geräte-Software und -Hardware miteinander kommunizieren.

Geräte mit Prozessoren von Samsung schnitten am besten ab. Sie wiesen durchschnittlich weniger als 0,5 fehlende Patches auf. Samsung ist ein wichtiger Hersteller von Smartphone-Prozessoren. Bei Geräten mit Quallcom-Prozessoren lag der Wert etwa doppelt so hoch (1,1). Eine große Update-Lücke (9,7 fehlende Patches) fanden die Forscher bei Geräten mit Prozessoren des taiwanischen Herstellers MediaTek.

Patches sorgen für Sicherheit

Android-Sicherheitsupdates sind für die Sicherheit eines Geräts essentiell. Sie schließen Sicherheitslücken, die Cyberkriminelle oder Geheimdienste ausnutzen könnten. Dass ein oder mehrere solcher Updates fehlen, heiße nicht zwangsläufig, dass ein Android-Gerät ernsthaft verwundbar ist, meint Karsten Nohl von Security Research Lab gegenüber dem IT-Magazin Wired. Android verfüge über ein komplexes Sicherheitssystem, das einzelne Schwächen ausgleichen könne. Dennoch reduziere jedes fehlende Update die Sicherheit.

Analyse-App checkt Stand des Geräts

Security Research Lab bietet in der kostenlosen Analyse-App SnoopSnitch eine Funktion an, mit der sich der tatsächliche Stand von Sicherheitsupdates auf dem eigem Gerät testen lässt. Die App ist leider nur auf Englisch verfügbar. Nachdem Sie Ihr Gerät mit der Analyse-App getestet haben, empfehlen wir, die App wieder zu deinstallieren.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Was bringen Systemoptimierer-Apps?

Systemoptimierer- oder auch Cleaner-Apps machen das Smartphone angeblich schneller und sicherer. Die meisten dieser Apps nützen allerdings wenig bis nichts. Wir erklären den Hintergrund und wie man sein Smartphone oft auch ohne App von Fehlern im System befreien kann.

Ansehen
YouTube-Video 

Gefälschtes iPhone X: Schickes Sicherheitsdesaster

Im chinesischen Handel sind nagelneue iPhones für 100 US-Dollar zu haben - Fälschungen des iPhone X. Die Kollegen des Magazins "Motherboard" haben sich die Geräte näher angesehen. Der Fund ist kurios - doch die Software ein Sicherheitsdestaster. Wir sagen: Augen auf und Hände weg!

Ansehen
App-Test 

DB-Navigator: Fahrplanauskunft und Ticketbuchung bei der Bahn

DB Navigator ist eine kostenlose App der Deutschen Bahn, die unter anderem Nah- und Fernverbindungen des öffentlichen Verkehrsnetzes anzeigt. Registrierte Kunden können mit der App Tickets buchen und verwalten. Ein mögliches Problem: Tracking.

Mehr
Spyware & Überwachung 

„Nicht in jeder Beziehung sind die Handys durch Sperr-Codes geschützt“

Wenn Frauen in ihren Beziehungen Gewalt erleben, spielt häufig das Smartphone eine Rolle: Nachrichten werden kontrolliert, der Standort überwacht. Wann es Zeit ist, Grenzen zu setzen und wohin Betroffene sich wenden können, erklärt Diplom-Psychologin Stefanie Pfingst im Interview.

Mehr