MSI Z390 Steam-Aktion

Android: Patch-Level ist meist Augenwischerei

reported by doelf, Freitag der 13.04.2018, 17:11:19 Uhr

Allmonatlich veröffentlicht Goolge neue Sicherheits-Updates für das weltweit dominierende Mobil-Betriebssystem Android und erklimmt damit immer neue Patch-Level. Googles Partner sind gehalten, diese Flicken zu übernehmen. Doch in den allermeisten Fällen wird der Patch-Level angehoben, obwohl gar nicht alle Updates implementiert wurden.

Was wurde untersucht?
Dies haben die Sicherheitsspezialisten der Berliner Firma "Security Research Labs" bei der Untersuchung von 1.200 Android-Smartphones diverser Hersteller herausgefunden und ihre Ergebnisse heute auf der HITB-Konferenz in Amsterdam präsentiert. Rund 980 Sicherheitslücken wurden im Jahr 2017 in Android geschlossen. Kernel-Updates können die Sicherheitsforscher aktuell noch nicht untersuchen und Schwachstellen im User-Mode, von denen eine mittlere oder geringe Gefahr ausgeht, haben sie fürs erste ausgespart. Damit bleiben noch 280 kritische und hochgefährliche Schwachstellen im User-Mode von denen bisher 164 in das Testverfahren integriert wurden. Auf diese 164 Flicken hin wurden die Geräte untersucht, wobei einige Korrekturen nur für bestimmte Android-Versionen geeignet sind.

Deutliche Unterschiede bei den Herstellern
Einzig bei den Geräten von Google selbst entsprach der Patch-Level den Erwartungen. Bei den Smartphones von Samsung, Sony und Wiko fehlte im Schnitt weniger als ein Sicherheits-Update, bei OnePlus, Nokia und Xiaomi waren es ein bis drei und bei HTC, Huawei, LG und Motorola waren es drei bis vier. Die chinesischen Hersteller TCL und ZTE liegen mit mehr als vier fehlenden Patches auf dem letzten Platz. Bei den Untersuchungen zeigte sich allerdings auch, dass die Hersteller der Telefone vom Zulieferer des jeweiligen Chipsatzes abhängig sind: Während Samsung im Schnitt weniger als 0,5 Updates vergessen hatte, kam Qualcomm auf 1,1 und HiSilicon auf 1,9 Patches. Schlusslicht war Mediatek mit 9,7 fehlenden Flicken. Wer auf Sicherheit wert legt, sollte daher einen Bogen um Mediatek machen.

Viele Köche verderben den Brei
SnoopSnitchEin Grundproblem von Android bleibt die Firmware-Erstellung: Zunächst liefert Google eine neue Version des Betriebssystems, welche Chipsatzhersteller wie Qualcomm und Mediatek für ihre SoCs anpassen. Danach geht die Firmware an die Telefonhersteller, die das System nach ihren Vorstellungen verbasteln. Wenn man Pech hat, fummelt im Anschluss noch der Telekommunikationsanbieter an der Firmware herum, bevor sie dann irgendwann (oder auch nicht) an die Kunden ausgeliefert wird. Dieses Verfahren ist extrem langwierig, sehr fehleranfällig und auch kostenintensiv. Dass insbesondere Geräte der unteren und mittleren Preisklasse gar keine Updates erhalten, verwundert kaum. Vermutlich wird Google diese Missstände erst mit dem Android-Nachfolger Fuchsia, welcher sich noch in der Entwicklung befindet, in den Griff bekommen.

Risikobewertung und Selbsttest
Laut "Security Research Labs" ist Android aufgrund diverser Sicherheitsvorkehrungen dennoch relativ sicher. Im Normalfall muss man mehrere Sicherheitslücken miteinander kombinieren, um Daten zu stehlen oder das Gerät zu übernehmen. Das Fehlen bestimmter Patches bedeutet somit nicht, dass die betroffenen Geräte angreifbar sind. Doch jedes ausgelassene Update erhöht die Wahrscheinlichkeit eines erfolgreichen Angriffs. Zudem ist der Patch-Level für den Benutzer der einzige Anhaltspunkt hinsichtlich der Aktualität seiner Firmware und wenn diese Angabe nicht stimmt, ist das irreführend. Für alle, die ihrem Android-Gerät nun selber auf den Zahn fühlen wollen, haben die Berliner Sicherheitsexperten die kostenlose App SnoopSnitch (siehe Bildschirmfoto) bereitgestellt.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]