Technik
Einige Android-Hersteller täuschen nur vor, dass sie alle Sicherheits-Patches verteilen.
Einige Android-Hersteller täuschen nur vor, dass sie alle Sicherheits-Patches verteilen.(Foto: Imago/Google/kwe)
Freitag, 13. April 2018

Android-Smartphones sicher?: Hersteller schummeln bei Updates

Bei einer Überprüfung fällt bei mehreren Android-Smartphones auf, dass sie nur vortäuschen, Sicherheitsupdates erhalten zu haben. Manche Hersteller sollen sogar nur das Datum der Patches ändern, ohne irgendwelche Lücken zu schließen.

Android-Nutzer müssen ohnehin schon damit leben, dass sie nur selten ein aktuelles Betriebssystem haben. Bei aktuelleren Geräte sollten aber wenigstens Sicherheit-Updates regelmäßig aufgespielt werden, die Google monatlich veröffentlicht. Ob das so ist, kann man in den Systemeinstellungen in der Telefon-Info (Über das Telefon) sehen. Dort steht hinter Android-Sicherheitsupdate das Datum der jüngsten Aktualisierung. "Wired" berichtet allerdings, dass sich Nutzer auf diese Angabe nicht unbedingt verlassen können. Denn manchmal änderten Hersteller einfach nur das Datum, ohne die Sicherheit des Geräts zu verbessern, schreibt das Tech-Magazin.

Das Datum bedeutet wenig

Es beruft sich dabei auf eine Analyse des deutschen Unternehmens Security Research Labs (SRL), das bei insgesamt 1200 Android-Smartphones in der Firmware kontrolliert hat, welche Updates im vergangenen Jahr tatsächlich installiert wurden. Dabei fanden sie heraus, dass Hersteller oft Patches einfach auslassen. Das heißt, wenn in den Einstellungen steht, dass die jüngste Aktualisierung Googles Update vom 1. März ist, bedeutet dies noch lange nicht, dass auch ältere Sicherheitslücken geschlossen wurden. Das trifft auch auf namhafte Hersteller und teure Smartphones zu, wobei in diesen Fällen deutlich seltener Updates ausgelassen wurden als bei unbekannteren Anbietern von günstigen Geräten.

Sie hätten auch Handys gefunden, bei denen die Hersteller nicht einen einzigen Patch installiert, aber trotzdem das Datum geändert hätten, sagt SLR-Forscher Karsten Nohl. Der Nutzer habe letztendlich keine Chance, zu sehen, auf welchem Stand sein Gerät tatsächlich sei.

Der Chip spielt eine Rolle

Alle Patches ohne Ausnahme wurden nur auf Googles eigenen Smartphones aufgespielt, bei allen anderen gab es einen Ausfall oder mehrere fehlende Patches. Die Hersteller, die im vergangenen Jahr nur ein Update ausgelassen haben, sind Sony, Samsung und Wiko. Nokia, OnePlus und Xiaomi folgen mit einem bis drei Ausfällen, HTC, Huawei, LG und Motorola blieben drei bis vier Aktualisierungen schuldig. Noch mehr Patches ließen ZTE und TCL unter den Tisch fallen.

SLR vermutet, dass die Chips eine wichtige Rolle bei der Verteilung von Updates spielen. So gibt es bei den Prozessoren von Samsung, Qualcomm und Huawei im Schnitt nur 0,5 bis 1,9 ausgelassene Sicherheitspatches, während bei Geräten mit Mediatek-Prozessoren 10,9 Aktualisierungen fehlen. Laut "Wired" liegt dies nicht nur daran, dass diese Chips vor allem in günstigen Geräten zu finden sind, bei denen die Hersteller sich allgemein gerne Updates sparen. Es gäbe auch häufiger Fehler in den Prozessoren, die ohne Patches von Mediatek nicht beseitigt werden könnten.

Patches sind nicht alles, aber wichtig

Google teilte "Wired" mit, dass einige der untersuchten Geräte vielleicht nicht Android-zertifiziert seien und in anderen Fällen Updates möglicherweise ausgelassen wurden, weil die Smartphones von den entsprechenden Sicherheitslücken gar nicht betroffen gewesen seien. Oder der Hersteller habe eine eigene Lösung gefunden. Außerdem seien zertifizierte Geräte schon durch andere Maßnahmen (Google Play Protect, Sandboxing, Security Services) gut geschützt und schwer angreifbar.

Dass Patches ausgelassen wurden, weil sie nicht nötig waren, hält Karsten Nohl eher für unwahrscheinlich. Dies käme nur sehr selten vor, sagt Nohl. Allerdings gibt er Google recht, dass auch Android-Smartphones mit fehlenden Updates nur schwer zu hacken seien. Viel häufiger gäbe es erfolgreiche Angriffe über bösartige Apps.

Allerdings machten es ungepatchte Systeme Hackern letztendlich doch leichter. Eine nicht beseitigte Lücke sei vielleicht nicht für sich alleine gefährlich. Sie könnte aber die entscheidende Schwachstelle bei einem Angriff sein, der mehrere Strategien kombiniert.

Nokia teilte n-tv.de mit, man versuche derzeit noch die Rohdaten der Untersuchung zu erhalten. Generell könne man aber sagen: "Wir integrieren alle Patches, die Google und die Prozessorhersteller bereitstellen. Was wir nicht integrieren, sind Patches von Chipsätzen, die nicht in unseren Geräten enthalten sind."

Quelle: n-tv.de