News vom 16.04.2018

Angaben zu Sicherheitsupdates irreführend

Ein Artikel von , veröffentlicht am 16.04.2018

Dem Datum zu Sicherheitsupdates auf Android-Handys können Sie nicht immer trauen. Manchmal fehlen einige der sogenannten „Patches“, mit denen Hersteller neu entdeckte Sicherheitslücken ihrer Geräte stopfen. Dabei scheinen einige Hersteller die Nutzer bewusst zu täuschen.

Anders als es das Datum zum Stand der Sicherheitsupdates suggeriert, fehlen mitunter mehrere kleinere Anpassungen der Android-Software, sogenannte „Patches“. Das haben Sicherheitsforscher des deutschen IT-Unternehmens Security Research Lab herausgefunden und ihre Ergebnisse auf der Amsterdamer Konferenz Hack in the Box präsentiert.

Sicherheits-Patches stellt Android bereit. Jedes dieser Patches erhält als Name das Datum, an dem es zuerst veröffentlicht wird. Hersteller passen sie im Anschluss an die jeweiligen Gerätemodelle an und stellen sie den Nutzern zur Verfügung, mitunter mit erheblicher Verzögerung. Welches dieser Patches man zuletzt erhalten hat, kann man im Gerät nachsehen unter dem Punkt "Sicherheitspatch-Level", in den Geräteeinstellungen meistens zu finden unter dem Punkt "Über dieses Handy".

Das Datum bei diesem Menüpunkt zeigt also nicht an, wann man ein Patch tatsächlich erhalten hat, sondern von wann dieses Patch ist.

Die Berliner Forscher haben die Betriebssystem-Software von 1.200 neueren Android-Geräten analysiert. Dabei haben sie untersucht, welche der 2017 veröffentlichten Android-Patches tatsächlich auf dem Gerät vorhanden waren und wie sich das mit dem vom Gerät angezeigtem Datum des Sicherheitslevels deckte.

Fehlende Sicherheitsupdates

Einzelne Hersteller scheinen die Nutzer dabei gezielt im größeren Stil zu täuschen: sie ändern das Datum des letztes Sicherheitsupdates, ohne dass sie tatsächlich die verfügbaren Anpassungen aus dieser Zeit vornehmen. Die Forscher haben die Hersteller in vier Kategorien eingeteilt, je nach Zahl der durchschnittlich fehlenden Patches auf den Geräten:

  • 0-1 fehlende Patches: Google, Sony, Samsung, Wiko
  • 1-3 fehlende Patches: Xiaomi, Oneplus, Nokia
  • 3-4 fehlende Patches: HTC, Huawei, LG, Motorola
  • 4 und mehr fehlende Patches: TCL, ZTE

Die Forscher entdeckten zudem einen Zusammenhang zwischen der Zahl fehlender Android-Updates und dem eingebauten Prozessor, über den Geräte-Software und -Hardware miteinander kommunizieren.

Geräte mit Prozessoren von Samsung schnitten am besten ab. Sie wiesen durchschnittlich weniger als 0,5 fehlende Patches auf. Samsung ist ein wichtiger Hersteller von Smartphone-Prozessoren. Bei Geräten mit Quallcom-Prozessoren lag der Wert etwa doppelt so hoch (1,1). Eine große Update-Lücke (9,7 fehlende Patches) fanden die Forscher bei Geräten mit Prozessoren des taiwanischen Herstellers MediaTek.

Patches sorgen für Sicherheit

Android-Sicherheitsupdates sind für die Sicherheit eines Geräts essentiell. Sie schließen Sicherheitslücken, die Cyberkriminelle oder Geheimdienste ausnutzen könnten. Dass ein oder mehrere solcher Updates fehlen, heiße nicht zwangsläufig, dass ein Android-Gerät ernsthaft verwundbar ist, meint Karsten Nohl von Security Research Lab gegenüber dem IT-Magazin Wired. Android verfüge über ein komplexes Sicherheitssystem, das einzelne Schwächen ausgleichen könne. Dennoch reduziere jedes fehlende Update die Sicherheit.

Analyse-App checkt Stand des Geräts

Security Research Lab bietet in der kostenlosen Analyse-App SnoopSnitch eine Funktion an, mit der sich der tatsächliche Stand von Sicherheitsupdates auf dem eigem Gerät testen lässt. Die App ist leider nur auf Englisch verfügbar. Nachdem Sie Ihr Gerät mit der Analyse-App getestet haben, empfehlen wir, die App wieder zu deinstallieren.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

Hilfe, ist mein Kind techniksüchtig? – Tipps von danah boyd

Wer die Fixierung seiner Kinder auf Smartphones verändern will, muss ab und an auch sein eigenes Nutzungsverhalten hinterfragen. Die US-amerikanische Medien- und Sozialforscherin danah boyd hat praktische Tipps für Eltern, die wirksamer sein könnten als starre Regeln.

Mehr
Ratgeber 

Mit dem Smartphone sicher auf Reisen – 7 Tipps

Auch im Urlaub ist das Smartphone immer dabei. Doch einige Tricks und Maschen von Kriminellen zielen besonders auf ahnungslose Touristen. Wer sein Smartphone in der Ferne nutzen möchte, sollte daher ein paar Punkte beachten. Hier kommen unsere Tipps.

Mehr
Ratgeber 

Werbe-ID: So funktioniert das Nummernschild fürs Smartphone

Jedes Smartphone besitzt eine Art Nummernschild, das Werbung in Apps für Nutzer*innen personalisiert. Wir erklären, wie die Werbe-ID funktioniert und was Sie tun können, um das Tracking zu beschränken.

Mehr
Ratgeber 

Was tun bei Cybermobbing?

Wer von Cybermobbing betroffen ist, erlebt oft eine große Ohnmacht. Es gibt aber Möglichkeiten, sich zu wehren. Trifft es Kinder und Jugendliche, sind auch Eltern, Mitwissende und vor allem Schulen in der Pflicht, bei Mobbing über digitale Kanäle einzugreifen.

Mehr