18. April 2018 | Artikel drucken | | |

Sicherheitspatches: Wie Android-Hersteller Sicherheit vortäuschen

Das deutsche IT-Sicherheitsunternehmen Security Research Labs hat in einer Untersuchung bei einigen Android-Herstellern falsch datierte Sicherheitspatches gefunden. So garantiert das aktuellste Patch-Level nicht unbedingt die Schließung von alten Sicherheitslücken.

Wer ein Smartphone mit einem aktuellen Patch-Level hat, wägt sich eigentlich auf der sicheren Seite. Doch wie die Untersuchung des deutschen IT-Sicherheitsunternehmens Security Research Labs zeigte, fehlen trotz der angeblichen Aktualität alte Patches oder das Sicherheitsupdate behebt keine der eigentlichen Lücken, sondern aktualisiert nur das Datum des Updates. Zu dem Ärgernis, dass Hersteller die Sicherheitspatches oftmals stark verzögert anbieten, kommt nun auch die Schummelei bezüglich der Patches hinzu.

1.200 Android-Samrtphones getestet

Der Untersuchung nach ist die vollkommende Sicherheit von Android-Geräten nicht automatisch an dem aktuellstem Patch festzumachen. Oft werden die Lücken nicht mit dem jeweiligem Patch geschlossen. „Manchmal ändern die Hersteller einfach das Datum, ohne irgendwelche Patches zu installieren. Vermutlich haben sie aus Marketinggründen den Patch-Level auf ein bestimmtes Datum gesetzt, das am besten aussieht“, sagte Karsten Nohl von Security Research Labs. Für die Untersuchung haben die Sicherheitsforscher die Firmware von 1.200 Smartphones von verschiedenen Anbietern getestet. Oft wurden einfach Sicherheitspatches übersprungen oder Fehler nicht korrigiert. Trotzdem wird den Nutzern durch die vorgegaukelten Patches ein Gefühl von Sicherheit vermittelt. Zwar bedeutet das Ergebnis der Untersuchung nicht zwangsläufig, dass die Android-Geräte besonders anfällig für Angriffe sind, allerdings wird durch die fehlenden Patches das Sicherheitsniveau entsprechend verringert.

Android dennoch geschützt

Trotz fehlender Patches sind moderne Betriebssysteme durch weitere Sicherheitsbarrieren wie etwa ASLR oder Sandboxing ausreichend geschützt. Bei einem Hacking-Angriff müssen diese Barrieren erst einmal überwunden werden, um ein Smartphone erfolgreich zu hacken. Ein paar fehlende Patches sind bei solchen komplexen Angriffen in der Regel nicht ausreichend, um ein Smartphone aus der Ferne zu hacken. Dafür müssten zahlreiche Fehler miteinander verzahnt sein, um eine für einen Hacking-Angriff ausreichende Sicherheitslücke zu schaffen.

Smartphones mit billigen Prozessoren eher betroffen

Oft sind fehlende Patches auch abhängig vom Prozessorhersteller. Besonders betroffen von übersprungenen Patchupdates sind Smartphones mit Mediatek-Prozessoren. Diese werden vor allem in preisgünstigen Geräten verbaut, welche weniger häufig aktualisiert werden. Auch stecken die Sicherheitslücken in den Prozessoren selber. Die Gerätehersteller sind darauf angewiesen, dass der Prozessorhersteller neue Patches anbietet, um eventuelle Sicherheitslücken zu schließen. Bei Mediatheken werden diese Sicherheitupdates oft nicht bereitgestellt, was dann auf Kosten der Gerätehersteller geht.

Dieser Beitrag basiert auf einem Artikel von gorem.de

Quelle: Titelbild: iStock/PeopleImages

Hier schreibt Redaktion für Sie

Mehr Artikel vom Autor