Veröffentlicht inProdukte

Hersteller von Android-Geräten täuschen ihre Nutzer

Deutsche Sicherheitsexperten haben nun offengelegt, dass viele Android-Geräte nicht die notwendigen Patches erhalten.

Smartphones
Vorsicht vor Sicherheitslücken aufgrund mangelnder Patches. Foto: imago / Science Photo Library

Die deutsche Cybersecurity-Firma Security Research Labs (SRL) hat 1200 Android-Smartphones auf die Integration von ausgelieferten Sicherheits-Patches untersucht. Dabei stießen die Experten auf eine große „verdeckte Patch-Lücke“.

Viele Smartphone-Modelle geben vor, bei Patches auf dem aktuellen Stand zu sein, allerdings fehlen oftmals Patches, ohne dass der Nutzer davon erfährt. Nur 17 Prozent aller Android-Geräte befänden sich tatsächlich auf dem bestmöglichen Stand, was Patches anbelangt, schreibt SRL.

Experten werfen Herstellern „bewusste Täuschung“ vor

Wie Wired berichtet, haben die Sicherheitsforscher auf der Konferenz Hack in the Box in Amsterdam mehr Details zu ihrer Untersuchung verraten. Auf der Konferenz kritisierten sie einige Hersteller scharf.

„Wir haben einige Hersteller gefunden, die keinen einzigen Patch installiert haben, aber das Patch-Datum um einige Monate überzogen haben“, sagt Karsten Nohl, der Gründer von SRL. „Das ist bewusste Täuschung, aber das ist eher nicht üblich.“

Selbst entworfenes Kategoriensystem

Besonders schlecht in der Bewertung von SRL abgeschnitten haben die chinesischen Android-Smartphone-Hersteller TCL und ZTE. Bei ihren Geräten fehlen im Durchschnitt mehr als vier ausgelieferte Patches. Sie fallen damit in die vierte und letzte Stufe eines selbst entworfenen Kategoriensystems.

An der Spitze der Wertung befinden sich die Hersteller Google, Sony, Samsung und Wiko (0 bis 1 fehlender Patch). Xiaomi, OnePlus und Nokia fallen mit 1 bis 3 fehlenden Patches in die zweite Stufe. HTC, Huawei, LG und Motorola belegen die dritte Stufe mit 3 bis 4 fehlenden Patches.

Die Zuverlässigkeit liegt im Preis

Eine Auffälligkeit sei laut SRL auch, dass es oftmals auf den Hersteller integrierter Prozessoren ankäme, ob Patches fehlen. Es liege nämlich oft an diesen, bestimmte Patches auszuliefern. Hersteller teurerer Prozessoren leisten sich dabei wenige Fehler, günstigere Anbieter jedoch schon. Hervorgehoben wird hier etwa der Hersteller Mediatek, während Samsung, Qualcomm und Hisilicon Patches mit höherer Zuverlässigkeit ausliefern.

Sicherheitsmechanismen

Laut Google ist das Fehlen von Patches teilweise damit zu erklären, dass bestimmte Funktionen von den Herstellern gleich ganz von ihren Geräten entfernt wurden anstatt Patches auf sie anzuwenden. SRL Labs kann dieser Argumentation wenig abgewinnen.

Diese Situationen seien laut SRL sehr selten. Die deutschen Sicherheitsforscher stimmen Google jedoch bei der Aussage zu, wonach es trotz fehlender Sicherheits-Patches für Angreifer schwierig sei, in Android-Geräte einzudringen, seien doch mehrere weitere Sicherheitsmechanismen in dem Betriebssystem am Werk.

Offene Türen für Malware

Dennoch sei es laut SRL wichtig, bei Patches auf dem aktuellsten Stand zu bleiben, gelte es doch nicht nur Cyberkriminelle von seinem Android-Gerät fernzuhalten, sondern auch Geheimdienste. Diese könnten Sicherheitslücken, die sich durch fehlende Patches auftun in Kombination mit Zero-Day-Lücken (also solche, die dem Hersteller noch nicht bekannt sind und für die es noch keine Patches gibt) ausnutzen.

Der größte Unsicherheitsfaktor bei Angriffen seien schlussendlich nicht Android oder darin fehlende Patches, meint SRL-Gründer Karsten Nohl, sondern die Nutzer. Malware käme meist durch Social Engineering oder einfach die Verlockung kostenloser Apps auf Android-Geräte.

———-

Das könnte ebenfalls interessant sein:

———-

Nutzern von Android-Geräten, die selbst überprüfen wollen, welche Patches ihr Gerät erhalten hat, bietet SRL eine eigene App an.

Dieser Artikel erschien zuerst bei futurezone.at.

Du willst mehr von uns lesen? Folge uns auf Google News.