Einige Android-Betriebssysteme lügen offenbar über Sicherheits-Patches [Update]

Update, 13. April: Google hat der Verge die folgende Erklärung gegeben:

Wir möchten uns bei Karsten Nohl und Jakob Kell für ihre fortgesetzten Bemühungen zur Verbesserung der Sicherheit des Android-Ökosystems bedanken. Wir arbeiten mit ihnen zusammen, um ihre Erkennungsmechanismen zu verbessern und Situationen zu berücksichtigen, in denen ein Gerät ein alternatives Sicherheitsupdate anstelle des von Google vorgeschlagenen Sicherheitsupdates verwendet. Sicherheitsupdates sind eine von vielen Ebenen, die zum Schutz von Android-Geräten und -Benutzern verwendet werden. Ebenso wichtig sind integrierte Plattformschutzfunktionen wie Anwendungs-Sandboxing und Sicherheitsdienste wie Google Play Protect. Diese Sicherheitsebenen - zusammen mit der enormen Vielfalt des Android-Ökosystems - tragen zu den Schlussfolgerungen der Forscher bei, dass die Remote-Nutzung von Android-Geräten weiterhin eine Herausforderung darstellt.

Verpasste Patches machen Ihr Telefon sicher anfälliger als aktuelle, aber das bedeutet nicht, dass Sie völlig ungeschützt sind. Monatliche Patches helfen auf jeden Fall, aber es gibt allgemeine Maßnahmen, um sicherzustellen, dass alle Android-Telefone ein gewisses Maß an erhöhter Sicherheit aufweisen.

Einmal im Monat aktualisiert Google das Android Security Bulletin und veröffentlicht monatlich neue Patches, um Schwachstellen und Fehler zu beheben, sobald sie auftauchen. Es ist kein Geheimnis, dass viele OEMs ihre Hardware nur langsam mit diesen Patches aktualisieren, aber es wurde nun festgestellt, dass einige von ihnen behaupten, ihre Telefone aktualisiert zu haben, obwohl sich tatsächlich überhaupt nichts geändert hat.

Diese Entdeckung wurde von Karsten Nohl und Jakob Lell von den Security Research Labs gemacht und ihre Ergebnisse wurden kürzlich auf der diesjährigen Hack in the Box-Sicherheitskonferenz in Amsterdam vorgestellt. Nohl und Lell untersuchten die Software von 1200 Android-Handys von Google, Samsung, OnePlus, ZTE und anderen und stellten dabei fest, dass einige dieser Unternehmen das Erscheinungsbild von Sicherheitspatches ändern, wenn sie ihre Handys aktualisieren, ohne sie tatsächlich zu installieren.

Das Samsung Galaxy J3 aus dem Jahr 2016 soll 12 Patches enthalten, die einfach nicht auf dem Telefon installiert waren.

Es wird erwartet, dass einige der fehlenden Patches versehentlich erstellt werden, aber Nohl und Lell stießen auf bestimmte Telefone, bei denen die Dinge einfach nicht stimmten. Während das Samsung Galaxy J5 aus dem Jahr 2016 die Patches genau auflistete, schien das J3 aus demselben Jahr seit 2017 jeden einzelnen Patch zu haben, obwohl zwölf davon fehlten.

Die Untersuchung ergab auch, dass der in einem Telefon verwendete Prozessortyp einen Einfluss darauf haben kann, ob es mit einem Sicherheitspatch aktualisiert wird oder nicht. Bei Geräten mit Exynos-Chips von Samsung wurden nur sehr wenige Patches übersprungen, bei Geräten mit MediaTek-Chips fehlten durchschnittlich 9, 7 Patches.

Nachdem Nohl und Lell alle Telefone getestet hatten, erstellten sie eine Tabelle, in der die Anzahl der Patches aufgeführt war, die OEMs übersehen hatten, die aber noch installiert hatten. Firmen wie Sony und Samsung haben nur zwischen 0 und 1 gefehlt, aber TCL und ZTE haben 4 oder mehr übersprungen.

• 0-1 fehlende Patches (Google, Sony, Samsung, Wiko)
• 1-3 fehlende Patches (Xiaomi, OnePlus, Nokia)
• 3-4 fehlende Patches (HTC, Huawei, LG, Motorola)
• 4+ fehlende Patches (TCL, ZTE)

Kurz nach Bekanntgabe dieser Erkenntnisse gab Google bekannt, dass die schuldigen OEMs untersucht werden, um herauszufinden, was genau vor sich geht und warum die Benutzer belogen werden, welche Patches sie haben und welche nicht.

Trotzdem, wie sehen Sie das? Sind Sie von den Neuigkeiten überrascht und wird sich dies auf die künftig gekauften Telefone auswirken? Ton aus in den Kommentaren unten.

Warum ich im Frühjahr 2018 immer noch einen BlackBerry KEYone verwende