Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.198 Produkten

Olivia von Westernhagen 103

Sicherheitsforscher: Smartphone-Hersteller schummeln bei regelmäßigen Android-Patches

Android: Sicherheitsforscher entdecken Patch-Defizite in Firmware vieler Hersteller

Bild: pixabay.com

Laut aktueller Forschungsergebnisse gehört das Kaschieren übersprungener Android-Patches mittels hochgezählter Versionsnummern bei einigen Smartphone-Herstellern zum Tagesgeschäft.

Zwei Sicherheitsforscher des Berliner Unternehmens Security Research Labs (SRL) haben im Rahmen eines zweijährigen Forschungsprojekts Firmware von mehr als 1200 Android-Smartphones analysiert. Dabei wollen sie in mehreren Fällen ein von ihnen als "patch gap" bezeichnetes Phänomen festgestellt haben: Viele Hersteller gäben nur vor, dass ihre Firmware in punkto Sicherheit auf dem neuesten Stand sei, sagten die Forscher gegenüber Wired.

Anzeige

Tatsächlich würden die Hersteller die von Google veröffentlichten Sicherheitshinweise und Patches – teils mehrfach – überspringen oder mehrere Monate hinausschieben. Ersteres geschehe in einigen Fällen vermutlich aus Versehen. In anderen werde bewusst manipuliert – bis hin zu angepassten Firmware-Aktualisierungsdaten und geänderten Versionsnummern, hinter denen sich in Wirklichkeit keinerlei Änderungen verbergen. Hinzu kommen noch jene Hersteller, die gar nicht erst so tun, als würden sie regelmäßig Updates veröffentlichen.

Die Forscher von SRL testeten nach eigenen Angaben Firmware-Versionen von mehr als einem Dutzend Herstellern. Neben klassischem Reverse Engineering führten sie vor allem binäre Vergleiche durch, um die Unterschiede zwischen den verschiedenen Patch-Leveln nachzuvollziehen und fehlende Patches mit Hilfe von Funktionssignaturen aufzuspüren.

(Bild: Security Research Labs / Wired)

Ihre Erkenntnisse stellen sie am Freitag auf der IT-Sicherheitskonferenz Hack in the Box im Detail vor; Wired veröffentlichte aber schon vorab zwei Tabellen mit der durchschnittlichen Zahl ausgelassener Patches in 2017 je Hersteller und Chipsätzen. Bei den Herstellern schnitten die chinesischen Hersteller TCL und ZTE mit vier oder mehr übersprungenen Patches am schlechtesten ab – aber auch Platzhirsche wie Motorola oder LG bekleckerten sich mit drei bis vier "Patch-Aussetzern" nicht gerade mit Ruhm.

Auch bei gut platzierten Herstellern wie Samsung gibt es zwischen überwiegend gut gepatchten Modellen und Chipsätzen mit einem oder weniger fehlenden Patches "Ausreißer" nach unten – so wie etwa das Galaxy J3 von 2016, dem laut SRL in 2017 ganze zwölf Patches fehlten, von denen Google zwei als kritisch eingestuft hatte. Dem Nutzer sei indes der Eindruck vermittelt worden, dass das Gerät bestens mit Sicherheitsupdates versorgt sei.

Android-Patchday

Neben Google veröffentlichen von den großen Herstellern lediglich BlackBerry, LG und Samsung monatlich Sicherheitspatches - allerdings nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht. Letzteres ist leider die Regel.

Oft stecken die Lücken nicht im Betriebssystem, sondern im Chipsatz – und dann sind die Smartphone-Hersteller auf die Gewissenhaftigkeit der Chip-Hersteller angewiesen. Somit sind billige, nach SRLs Erkenntnissen tendenziell schlechter gepatchte Chips oft mitverantwortlich für die höhere Sicherheitsanfälligkeit günstiger No-Name-Geräte.

Anzeige

In einer Stellungnahme gegenüber Wired hat Google darauf hingewiesen, dass nicht alle bei den Tests berücksichtigten Hersteller und Geräte vom Unternehmen zertifiziert seien. Zertifizierte Partner informiert es nach eigenen Angaben mindestens einen Monat vor den offiziellen Android Patchdays umfassend über aktuelle Sicherheitslücken, damit sie ausreichend Zeit haben, eigene Updates bereitzustellen.

Das Unternehmen erklärte außerdem, dass Hersteller verwundbare Features mitunter einfach entfernen, statt einen Patch zu schreiben – oder auf das Patchen verzichten, weil besagtes Feature von vornherein nicht zum Funktionsumfang des Geräts gehörte. Die Forscher von SRL schätzen die Zahl der Fälle, in denen das Patchen tatsächlich nicht notwendig sei, allerdings als "nicht signifikant" für ihre Analyseergebnisse ein.

In einem anderen Punkt stimmten sie laut Wired allerdings mit Google überein: Das Fehlen einzelner Patches ermögliche im Regelfall noch nicht keine wirksame Angriffe. Meist sei dazu eine komplexe "Exploit Chain" notwendig, was dazu führe, dass trivialere Angriffsstrategien – etwa mittels Malware-verseuchter Apps – letztlich erfolgversprechender seien.

(ovw)

103 Kommentare

Themen:

Anzeige
  1. Android-Patchday: Google kriegt den Media Player einfach nicht abgesichert

    Android-Patchday: Google kriegt den Media Player einfach nicht abgesichert

    Google stopft mehr als ein Dutzend als kritisch eingestufte Sicherheitslücken. Updates stehen für verschiedene Nexus- und Pixel-Geräte bereit.

  2. Qualcomm-Atheros: Android-November-Update schließt kritische WLAN-Treiber-Lücken

    Qualcomm-Atheros: Android-November-Update schließt kritische WLAN-Treiber-Lücken

    Im Linux-Treiber für WLAN-Chipsätze von Qualcomm-Atheros klaffen Sicherheitslücken, über die ein Angreifer das Gerät mit Hilfe von manipulierten WLAN-Paketen knacken kann. Unter anderem sind davon Android-Geräte der Nexus- und Pixel-Reihen betroffen.

  3. Keine Bloatware: Telekom liefert Smartphones ohne modifizierte Firmware und vorinstallierte Apps aus

    Kein Branding, keine Bloatware: Telekom liefert Smartphones ohne modifizierte Firmware und vorinstallierte Apps aus

    Die Telekom bietet nun Smartphones ohne vorinstallierte Apps an. Aber ganz ohne eigenes App-Angebot will sie doch nicht daherkommen.

  4. Patchday: Google verarztet Android und stopft 102 Sicherheitslücken

    Patchday: Google verarztet Android und stopft 102 Sicherheitslücken

    Mit dem aktuellen Patchpaket für seine Nexus- und Pixel-Geräte schließt Google unter anderem mehr als ein Dutzend als kritisch eingestufte Schwachstellen. Besitzer von Geräten anderer Hersteller müssen wie gewohnt warten.

  1. Virenscanner für Android - brauche ich das?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten Ihnen, ob Sie einen Virenscanner für Android brauchen.

  2. Android-Backup: So gelingt die Datensicherung

    Apps, Fotos, Kontakte: Auf Ihrem Android-Smartphone lagern unzählige wichtige Daten. Wir zeigen, wie Sie ein Daten-Backup Ihres Handys anlegen.

  3. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  1. Löschanlagen-Ton zerstört Festplatten in schwedischem Rechenzentrum

    Rechenzentrum

    Der extrem laute Ton einer Gaslöschanlage hat in einem Rechenzentrum in Schweden zahlreiche Festplatten beschädigt. Der Börsenhandel in Skandinavien war deshalb stundenlang beeinträchtigt.

  2. heise devSec 2018: Call for Proposals um eine Woche verlängert

    heise devSec 2018: CfP um eine Woche verlängert

    Bis zum 29. April haben Experten nun noch Zeit, ihre Vorträge für die Konferenz zum Thema sichere Softwareentwicklung einzureichen.

  3. Erste Ausfahrt: Mercedes A 200

    Mercedes A-Klasse

    Die vierte A-Klasse ist ein hervorragendes Auto geworden, wie eine erste Ausfahrt zeigt. Eindrucksvoll ist der Vorsprung im Bereich Infotainment. Ein Modell für die breite Masse ist es aber nicht, denn Mercedes langt selbst für Kleinigkeiten heftig zu

  4. Kabellose Bluetooth-Kopfhörer: Neun Modelle im Test

    Kabellose Bluetooth-Kopfhörer: Neun Modelle im Vergleichstest

    Zwei winzige Ohrstöpsel, kein Kabel, keine Bügel – wem Komfort beim Musikhören wichtig ist, sollte zu kabellosen Ohrhörern greifen. Hält der Klang unter der gewonnenen Bewegungsfreiheit Schritt?

Anzeige