Image credit:

Android Security Patches fast aller Hersteller sind nicht vollständig

Security Research Labs testeten 1.200 Firmware-Releases
0 Shares
Share
Tweet
Share
Save


Nicht genug, dass viele Hersteller sehr langsam mit dem Ausliefern von Security-Updates für Android sind, das sind wir fast schon gewöhnt, nein, oft tun sie wohl auch nur so, als hätten sie die Sicherheitslöcher gestopft.

SRL Researcher Karsten Nohl und Jakob Lell haben auf der Hack In The Box Konferenz in Amsterdam letztes Wochenende darauf aufmerksam gemacht, dass von allen getesteten Security-Updates allein Googles Pixel-Smartphones auch wirklich sämtliche Patches bekommen.

Getestet hatten sie 1.200 Firmware-Releases. Gelegentlich fehlte der ein oder andere angekündigte Fix, manchmal aber haben einige Firmen auch einfach ein Update mit Bugfixes ausgeliefert, das nur das Datum der Security Patches nach vorne verschoben, aber effektiv nichts geändert hat. Eine obskure Tatsache, die zumindest arge Kundentäuschung ist.

Von allen getesteten Marken stehen Sony, Samsung und Wiko am besten da, Xiaomi, Oneplus und Nokia liegen im Mittelfeld, HTC, Huawei, LG und Motorola rangieren noch weiter unten und TCL und ZTE befinden sich am unteresten Ende.

Bemerkenswert ist auch, dass es große Unterschiede in diesem Upgrade-Verhalten bei Smartphones mit verschiedenen Chipsätzen gibt. Smartphone-Hersteller müssen hier wohl gelegentlich auf die Chiphersteller warten, da manche Patches eben die Chips selbst betreffen. Und so landet in der Rangliste hier Mediatek ganz unten. Im Durchschnitt werden auf Smartphones mit Mediatek-Chipsätzen pro Release 9,7 Patches nicht gefixt. Samsung zeigt sich auch hier weit vorne.

Google hatte sich Wired gegenüber, die diese Forschung einer größeren Öffentlichkeit präsentiert haben, dahingehend zu dem Problem geäußert, dass dennoch nicht alles verloren sei, weil viele Sicherheitsvorkehrungen im Betriebssystem selbst manche der Bugs sehr schwer angreifbar machen und gelegentlich dank fehlender Features in Smartphones andere auch gar nicht nötig wären. Sie wollen aber dennoch die Arbeit der SRL Forscher in jedem Einzelfall überprüfen, sofern es sich um zertifizierte Android Geräte handelt.

Eins aber scheinen auch die Forscher zu bestätigen: die Hacks über solche Bugs werden eher rar sein im Vergleich zu Hacks über Apps und wenn dann auch eher von Geheimdienstorganisationen unternommen, die allerdings vermutlich auch lieber Zero-Day-Exploits nutzen. D.h. Sicherheitslücken, die eben noch nicht gepatcht wurden.

Mittels der SRL-App SnoopSnitch lässt sich übrigens u.a. genau das alles am eigenen Smartphone überprüfen, d.h. jeder kann selbst nachsehen, welche Patches installiert wurden. Es scheint allerdings dort auch false positives zu geben.

From around the web

ear iconeye icontext filevr