News vom 16.04.2018

Angaben zu Sicherheitsupdates irreführend

Ein Artikel von , veröffentlicht am 16.04.2018

Dem Datum zu Sicherheitsupdates auf Android-Handys können Sie nicht immer trauen. Manchmal fehlen einige der sogenannten „Patches“, mit denen Hersteller neu entdeckte Sicherheitslücken ihrer Geräte stopfen. Dabei scheinen einige Hersteller die Nutzer bewusst zu täuschen.

Anders als es das Datum zum Stand der Sicherheitsupdates suggeriert, fehlen mitunter mehrere kleinere Anpassungen der Android-Software, sogenannte „Patches“. Das haben Sicherheitsforscher des deutschen IT-Unternehmens Security Research Lab herausgefunden und ihre Ergebnisse auf der Amsterdamer Konferenz Hack in the Box präsentiert.

Sicherheits-Patches stellt Android bereit. Jedes dieser Patches erhält als Name das Datum, an dem es zuerst veröffentlicht wird. Hersteller passen sie im Anschluss an die jeweiligen Gerätemodelle an und stellen sie den Nutzern zur Verfügung, mitunter mit erheblicher Verzögerung. Welches dieser Patches man zuletzt erhalten hat, kann man im Gerät nachsehen unter dem Punkt "Sicherheitspatch-Level", in den Geräteeinstellungen meistens zu finden unter dem Punkt "Über dieses Handy".

Das Datum bei diesem Menüpunkt zeigt also nicht an, wann man ein Patch tatsächlich erhalten hat, sondern von wann dieses Patch ist.

Die Berliner Forscher haben die Betriebssystem-Software von 1.200 neueren Android-Geräten analysiert. Dabei haben sie untersucht, welche der 2017 veröffentlichten Android-Patches tatsächlich auf dem Gerät vorhanden waren und wie sich das mit dem vom Gerät angezeigtem Datum des Sicherheitslevels deckte.

Fehlende Sicherheitsupdates

Einzelne Hersteller scheinen die Nutzer dabei gezielt im größeren Stil zu täuschen: sie ändern das Datum des letztes Sicherheitsupdates, ohne dass sie tatsächlich die verfügbaren Anpassungen aus dieser Zeit vornehmen. Die Forscher haben die Hersteller in vier Kategorien eingeteilt, je nach Zahl der durchschnittlich fehlenden Patches auf den Geräten:

  • 0-1 fehlende Patches: Google, Sony, Samsung, Wiko
  • 1-3 fehlende Patches: Xiaomi, Oneplus, Nokia
  • 3-4 fehlende Patches: HTC, Huawei, LG, Motorola
  • 4 und mehr fehlende Patches: TCL, ZTE

Die Forscher entdeckten zudem einen Zusammenhang zwischen der Zahl fehlender Android-Updates und dem eingebauten Prozessor, über den Geräte-Software und -Hardware miteinander kommunizieren.

Geräte mit Prozessoren von Samsung schnitten am besten ab. Sie wiesen durchschnittlich weniger als 0,5 fehlende Patches auf. Samsung ist ein wichtiger Hersteller von Smartphone-Prozessoren. Bei Geräten mit Quallcom-Prozessoren lag der Wert etwa doppelt so hoch (1,1). Eine große Update-Lücke (9,7 fehlende Patches) fanden die Forscher bei Geräten mit Prozessoren des taiwanischen Herstellers MediaTek.

Patches sorgen für Sicherheit

Android-Sicherheitsupdates sind für die Sicherheit eines Geräts essentiell. Sie schließen Sicherheitslücken, die Cyberkriminelle oder Geheimdienste ausnutzen könnten. Dass ein oder mehrere solcher Updates fehlen, heiße nicht zwangsläufig, dass ein Android-Gerät ernsthaft verwundbar ist, meint Karsten Nohl von Security Research Lab gegenüber dem IT-Magazin Wired. Android verfüge über ein komplexes Sicherheitssystem, das einzelne Schwächen ausgleichen könne. Dennoch reduziere jedes fehlende Update die Sicherheit.

Analyse-App checkt Stand des Geräts

Security Research Lab bietet in der kostenlosen Analyse-App SnoopSnitch eine Funktion an, mit der sich der tatsächliche Stand von Sicherheitsupdates auf dem eigem Gerät testen lässt. Die App ist leider nur auf Englisch verfügbar. Nachdem Sie Ihr Gerät mit der Analyse-App getestet haben, empfehlen wir, die App wieder zu deinstallieren.

Geschrieben von

E-Mail

mey@jb-schnittstelle.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Checkliste 

Checkliste: Android-Handy sichern in 10 Punkten

Sie haben ein neues Mobilgerät oder wollen Ihr altes einmal durchchecken? Mit diesen zehn Tipps sind Sie auf der sicheren Seite. Einfach Punkt für Punkt durchgehen, Einstellungen prüfen, bei Bedarf ändern und abhaken.

Mehr
Körper und Gesundheit 

Wann gelten Apps als Medizinprodukt?

Viele Apps übernehmen medizinische Funktionen: Von der Erinnerung an die tägliche Tablette bis zur Tinnitus-Therapie. Theoretisch sind solche Apps in Europa streng reguliert. Doch die Auflagen sind wenig praktikabel und werden kaum umgesetzt.

Mehr
YouTube-Video 

iPhone weg? So finden Sie es wieder

iPhones und iPads bringen eine praktische Funktion zum Orten mit - falls Sie das Gerät verlegt haben oder es gestohlen wurde. Wie das Orten genau funktioniert und was Sie aus der Ferne noch unternehmen können, zeigen wir im Video.

Ansehen
Kinder und Jugendliche 

Samsung Kindermodus konfigurieren

Sie haben ein Samsung-Handy und wollen es ab und an Ihrem Kind in die Hand geben? Mit der Samsung-App „Kindermodus“ können Sie das Gerät so sichern, dass dabei kein Unglück passiert. Wir zeigen Schritt für Schritt, wie Sie die App einrichten.

Mehr