Gefakte Android-Sicherheitsupdates (Update)
Android-Patch-Verteilung nach Hersteller und SoC
SRL
Die Sicherheit von Android-Smartphones durch regelmäßige Updates ist bei den von Google vermarkteten Pixel-Mobilgeräten sowie den Produkten der Partnerprogramme Anroid One und Android Go am höchsten. Mobiltelefone, die vom Hersteller selbst vertrieben werden und kein Teil der zuvor genannten Initiativen sind, bergen ein größeres Risiko für den Anwender. Wie groß dieses Risiko ist, hängt vom jeweiligen Unternehmen und vom verwendeten Chipsatz ab. Neben dem bekannten Problem, dass viele Geräte oft schon recht kurz nach Markteinführung keine Sicherheitsupdates mehr erhalten, haben die Sicherheitsexperten von Security Research Labs (SRL) auch das neue Problem aufgedeckt, dass Sicherheitsupdates nur auf dem Papier durchgeführt werden: Dabei wird der auf dem Gerät angezeigte Update-Stand zwar aktualisiert, die eigentlichen Updates aber dennoch ausgelassen. SRL hat detailliert aufgelistet, welche Konzerne am häufigsten derart bei den Sicherheitspatches patzen.
Update-Fehler nach Hersteller
Android-Patch-Verteilung nach Hersteller und SoC
SRL
SRL führte eine Analyse der Firmware von 1200 Smartphones von mehr als einem Dutzend Hersteller durch. Dabei wurden alle Android-Patches berücksichtigt, die im Jahr 2017 erschienen sind. So sollen Google, Sony, Samsung und Wiko jeweils nur maximal eine Aktualisierung verpasst haben. Bei Xiaomi, OnePlus und Nokia (HMD Global) wurden im Schnitt ein bis drei Updates übersprungen. Um HTC, Huawei, LG und Motorola (Lenovo) ist es mit drei bis vier nicht verteilten Sicherheitspatches weniger gut bestellt. Besonders kritisch sei die Lage bei den chinesischen Firmen TCL und ZTE. Bei deren Mobiltelefonen sollen jeweils mindestens vier Updates übersprungen worden sein.
Update-Lücken aufgeschlüsselt nach Chipsatz
Im Smartphone-Sektor buhlen bekanntermaßen mehrere SoC-Hersteller um die Gunst der Handyhersteller. Dabei sind die Chipsätze von Qualcomm am meisten präsent, dennoch verpassen Nutzer mit einer Plattform dieses Halbleiterfertigers im Schnitt 1,1 Patches, während es bei Samsung nur 0,5 sind. Huawei setzt auf seine hauseigene Prozessorschmiede HiSilicon und macht bei seinen Handys bezüglich der Updates noch einen guten Job. Im Schnitt gehen 1,9 Patches an den Anwendern vorbei. MediaTek hingegen ist weit abgeschlagen hinter der Konkurrenz, Mobilgeräte mit einem SoC dieses Unternehmens müssen im Schnitt auf 9,7 Aktualisierungen verzichten.
Patch Gap: gViele Hersteller tricksen bei den Updates
Am Freitag fand die Sicherheitskonferenz Hack in the Box in Amsterdam statt, bei der auch Karsten Nohl und Jakob Lell vom deutschen Institut Security Research Labs zugegen waren. Sie demonstrierten die Ergebnisse von zwei Jahre lang durchgeführtem Reverse Engineering. Das Team durchstöberte den System-Code von Hunderten Smartphones und überprüfte sorgfältig, ob die in den Einstellungen angegebenen Sicherheitspatches der Wahrheit entsprechen. Das Resultat betitelt SRL als „Patch Gap“. So würden einige Hersteller den Nutzern vormachen, dass alle Patches bis zu einem bestimmten Datum installiert wurden, während in der Realität bis zu einem Dutzend Aktualisierungen fehlten. „Wir fanden heraus, dass es eine Lücke auf einem Mobilgerät zwischen der Behauptung des jeweiligen Patches und der tatsächlich installierten Version gibt.“, so Nohl. Doch die Misere geht noch weiter. „Manchmal ändern die Verantwortlichen einfach das Datum, ohne irgendeinen Patch aufzuspielen. Möglicherweise aus Marketinggründen setzen sie den Patch-Level auf ein willkürliches Datum, das am besten aussieht.“ Dieses Verhalten sei allerdings nicht weit verbreitet.
Weitere Ungereimtheiten bei den Sicherheitspatches
Karsten Nohl geht davon aus, dass Firmen wie Sony und Samsung ein oder zwei Sicherheitsupdates versehentlich ausgelassen haben. Allerdings beobachtete der SRL-Mitarbeiter auch manche schwer zu erklärende Vorgänge beim südkoreanischen Smartphone-Marktführer. Beispielsweise habe das Galaxy J5 (2016) ehrlich Auskunft über die aufgespielten und verpassten Patches gegeben, wohingegen das Galaxy J3 (2016) angab, alle Aktualisierungen in 2017 erhalten zu haben, was aber nicht zutrifft. Das Galaxy J3 (2016) erhielt zwölf Patches nicht, wovon zwei als kritisch für den Schutz des Handys angesehen werden. Nohls Fazit lautet daher „Es ist fast unmöglich für den User zu wissen, welche Patches bei ihm installiert sind.“ Um diese Ungewissheit aus der Welt zu schaffen, hat SRL Labs eine App namens SnoopSnitch entwickelt (Download hier). Das Programm teilt den tatsächlichen Status der Sicherheitslevels mit.
Googles Meinung zur Patch Gap
Die Webseite WIRED, durch die wir auf den Bericht der deutschen Sicherheitsforscher aufmerksam wurden, wandte sich betreffend der Update-Problematik an Google. Der Suchmaschinen-Konzern begrüßt zwar die Studie, merkt allerdings an, dass einige der analysierten Geräte keine Android-zertifizierten Produkte waren und sie deshalb nicht den Sicherheitsstandards entsprechen. Des Weiteren verlautbart Google, dass aktuelle Android-Mobilgeräte eine hohe Sicherheit hätten, selbst wenn sie nicht gepatcht seien. „Die Sicherheitsupdates sind eine von mehreren Schichten, die Android-Mobilgeräte und die Anwender schützen“, teilt Scott Roberts, Chef der Android-Produktsicherheit, mit. Er verweist auf Google Play Protect und die App-Sandbox. All diese Maßnahmen würden es Angreifern schwer machen, ein Smartphone oder Tablet zu hacken. Nohl stimmt Google zu und meint, dass die Zahl solcher Vorfälle in der Tat sehr niedrig sei. SRL Labs und der Android-Anbieter wollen zusammenarbeiten, um die entdeckten Sicherheitsprobleme weiter zu untersuchen.
Update 17. April: Stellungnahme von Samsung
In Reaktion auf diesen Bericht sandte uns Samsung die folgende Stellungnahme:
Samsung nimmt das Thema Sicherheit sehr ernst. Alle unsere Produkte und Supportverfahren sind darauf ausgelegt. Nachdem wir die vermeintlich nicht ausgerollten Sicherheitspatches in Zusammenarbeit mit Google überprüft haben, können wir berichten, dass das Galaxy J3 (2016) diese Sicherheitsupdates erhalten hat. Wir werden weiterhin eng mit unseren Partnern zusammenarbeiten, um Software- und Sicherheitsupdates für unsere Geräte auszuliefern. Bei Fragen bitten wir unsere Kunden, sich an den Samsung-Kundenservice unter 06196 77 555 66 zu wenden (Kosten laut Konditionen des Vertragspartners für Festnetzanschlüsse oder Mobilfunkanschlüsse. Servicezeiten: Montag bis Freitag: 08:00-21:00 Uhr, Samstag: 09:00-17:00 Uhr) oder unter samsung.com.
Ende des Updates.