Android-Geräte schummeln oft bei Sicherheits-Patches

Die deutsche Cybersecurity-Firma Security Research Labs (SRL) hat 1200 Android-Smartphones auf die Integration von ausgelieferten Sicherheits-Patches untersucht. Dabei stießen die Experten auf eine große "verdeckte Patch-Lücke". Viele Smartphone-Modelle geben vor, bei Patches auf dem aktuellen Stand zu sein, allerdings fehlen oftmals Patches, ohne dass der Nutzer davon erfährt. Nur 17 Prozent aller Android-Geräte befänden sich tatsächlich auf dem bestmöglichen Stand, was Patches anbelangt, schreibt SRL.

"Bewusste Täuschung"

Wie Wired berichtet, haben die Sicherheitsforscher auf der Konferenz Hack in the Box in Amsterdam mehr Details zu ihrer Untersuchung verraten. Auf der Konferenz kritisierten sie einige Hersteller scharf. "Wir haben einige Hersteller gefunden, die keinen einzigen Patch installiert haben, aber das Patch-Datum um einige Monate überzogen haben", sagt Karsten Nohl, der Gründer von SRL. "Das ist bewusste Täuschung, aber das ist eher nicht üblich."

TCL und ZTE ganz hinten

Besonders schlecht in der Bewertung von SRL abgeschnitten haben die chinesischen Android-Smartphone-Hersteller TCL und ZTE. Bei ihren Geräten fehlen im Durchschnitt mehr als vier ausgelieferte Patches. Sie fallen damit in die vierte und letzte Stufe eines selbst entworfenen Kategoriensystems. An der Spitze der Wertung befinden sich die Hersteller Google, Sony, Samsung und Wiko (0 bis 1 fehlender Patch). Xiaomi, OnePlus und Nokia fallen mit 1 bis 3 fehlenden Patches in die zweite Stufe. HTC, Huawei, LG und Motorola belegen die dritte Stufe mit 3 bis 4 fehlenden Patches.

Preisklasse

Eine Auffälligkeit sei laut SRL auch, dass es oftmals auf den Hersteller integrierter Prozessoren ankäme, ob Patches fehlen. Es liege nämlich oft an diesen, bestimmte Patches auszuliefern. Hersteller teurerer Prozessoren leisten sich dabei wenig Fehler, günstigere Anbieter jedoch schon. Hervorgehoben wird hier etwa der Hersteller Mediatek, während Samsung, Qualcomm und Hisilicon Patches mit höherer Zuverlässigkeit ausliefern.

Eindringen schwierig

Laut Google ist das Fehlen von Patches teilweise damit zu erklären, dass bestimmte Funktionen von den Herstellern gleich ganz von ihren Geräten entfernt wurden anstatt Patches auf sie anzuwenden. SRL Labs kann dieser Argumentation wenig abgewinnen. Diese Situationen seien laut SRL sehr selten. Die deutschen Sicherheitsforscher stimmen Google jedoch bei der Aussage zu, wonach es trotz fehlender Sicherheits-Patches für Angreifer schwierig sei, in Android-Geräte einzudringen, seien doch mehrere weitere Sicherheitsmechanismen in dem Betriebssystem am Werk.

Unvernünftige Nutzer

Dennoch sei es laut SRL wichtig, bei Patches auf dem aktuellsten Stand zu bleiben, gelte es doch nicht nur Cyberkriminelle von seinem Android-Gerät fernzuhalten, sondern auch Geheimdienste. Diese könnten Sicherheitslücken, die sich durch fehlende Patches auftun in Kombination mit Zero-Day-Lücken (also solche, die dem Hersteller noch nicht bekannt sind und für die es noch keine Patches gibt) ausnützen. Der größte Unsicherheitsfaktor bei Angriffen seien schlussendlich nicht Android oder darin fehlende Patches, meint SRL-Gründer Karsten Nohl, sondern die Nutzer. Malware käme meist durch Social Engineering oder einfach die Verlockung kostenloser Apps auf Android-Geräte.

Nutzern von Android-Geräten, die selbst überprüfen wollen, welche Patches ihr Gerät erhalten hat, bietet SRL eine eigene App an.