Ratgeber

Einige Android-Smartphones schummeln bei Sicherheitsupdates

Die Sicherheit von Android bleibt eine Baustelle.
Die Sicherheit von Android bleibt eine Baustelle. (©Adobe Stock/sellingpix 2018)

Laut einer aktuellen Studie sind manche Android-Hersteller nicht ganz ehrlich mit ihren Kunden, wenn es um Sicherheitsupdates geht. Auf einigen Geräten werden den Nutzern offenbar neue Sicherheitspatches vorgegaukelt, obwohl es gar keine gibt.

Android-Updates sind oftmals ein leidiges Thema. Jeden Monat bringt Google selbst einen aktuellen Sicherheitspatch für das Betriebssystem auf den Markt, der in der Regel abwärtskompatibel bis Android 4.4 ist. Viele Hersteller sind mittlerweile dazu übergegangen, diese Updates auch regelmäßig auf ihren Smartphones anzubieten: Oftmals tatsächlich monatlich, manchmal alle zwei Monate und manchmal auch nur im Vierteljahrestakt. Doch anscheinend gibt es auch Hersteller, die bei der Verteilung von Sicherheitsupdates gerne mal schummeln, wie eine Studie der Forscher Karsten Nohl and Jakob Lell des Security Research Labs laut Wired herausgefunden hat.

Manche Hersteller schummeln mehr als andere

Laut der Studie kam es bei zahlreichen Herstellern vor, dass diese den Kunden lediglich ein Update vorgegaukelt haben, obwohl gar kein aktueller Patch eingespielt wurde. In so einem Fall haben die Hersteller dann lediglich das Datum des letzten Patches geändert – etwa von Februar 2018 auf März 2018 – und den Kunden so vorgemacht, sie hätten bereits das neueste Sicherheitsupdate auf ihren Smartphones installiert. Betroffen waren davon auch Hersteller wie Samsung, Sony, Huawei, Nokia oder HTC.

Einige Hersteller täuschen ihre Kunden offenbar systematisch

Allerdings kann nicht bei allen Herstellern in diesem Fall von einer absichtlichen Täuschung der Kunden gesprochen werden. Bei Samsung oder Sony kam es nur auf einzelnen Produkten vor, das ein einziger Sicherheitspatch zeitweise nicht wie angegeben installiert wurde. Dafür können theoretisch technische Probleme verantwortlich sein – zum Beispiel aufseiten des jeweiligen Netzbetreibers. Andere Hersteller wie HTC, Huawei, LG oder Motorola hatten auf einigen ihrer Smartphones allerdings offenbar monatelang keine Sicherheitspatches bereitgestellt und nur das Datum geändert. Am schlimmsten verbreitet scheint diese Praxis bei den Herstellern TCL und ZTE zu sein, wo man teilweise schon von einem systematischen Vorgehen sprechen kann.

In der Studie wird zudem angemerkt, dass die Zahl der tatsächlich durchgeführten Patches stark mit der verbauten Hardware in den Smartphones in Zusammenhang steht. Eine systematische Täuschung der Kunden scheint es demnach nur bei Smartphones mit einem Mediatek-Prozessor zu geben, während auf Smartphones mit Snapdragon- oder Kirin-Chips kaum derartige Fälle nachweisen ließen. Am wenigsten betroffen waren Geräte mit Samsung-Exynos-Prozessoren. Auf den Smartphones der Galaxy-S-, Galaxy-Note- oder Galaxy-A-Reihe gab es demnach keine systematisch weggelassenen Sicherheitspatches.

 Beim Galaxy S9 muss man keine vorgetäuschten Sicherheitsupdates befürchten. fullscreen
Beim Galaxy S9 muss man keine vorgetäuschten Sicherheitsupdates befürchten. (©TURN ON 2018)

Das Vorgehen der Hersteller sät neue Zweifel

Die Studie der Security Research Labs dürfte viele Smartphone-Nutzer beunruhigen. Denn nachdem die meisten Hersteller in den letzten Jahren deutlich zugelegt hatten, was die Anzahl und das Tempo von Sicherheitspatches anbelangt, so stehen nun plötzlich wieder so gut wie alle von ihnen unter einem Generalverdacht und die Zweifel, ob das vermeintlich so sichere Smartphone tatsächlich sicher ist, dürften bei einigen Usern wachsen.

Es gibt trotzdem keinen Grund zur Panik

In Panik muss laut Karsten Noll aber kein Nutzer verfallen. Der Sicherheitsforscher vertritt nämlich die Auffassung, dass selbst ungepatchte Android-Smartphones mittlerweile deutlich schwerer zu hacken sind, als allgemein angenommen. Durch die Sicherheitsmechaniken, die seit einigen Jahren in Android verankert sind, reicht es für einen Hacker nicht mehr aus, einfach nur über eine Sicherheitslücke ins System zu kommen, da er dort kaum etwas anstellen oder stehlen könnte. Weil die meisten Android-Apps und -Prozesse keinen systemweiten Zugriff haben, müsste selbst ein erfahrener Hacker schon mehrere Sicherheitslücken gleichzeitig finden und erfolgreich angreifen, um wirklich die Kontrolle über ein Smartphone übernehmen zu können – und tatsächlich haben erfolgreiche Hackerangriffe auf Android in freier Wildbahn bislang kaum stattgefunden.

Eine App verschafft Nutzern Gewissheit

Für Nutzer, die nun trotzdem lieber Gewissheit haben wollen, wie aktuell die Software auf ihrem Gerät ist, haben die Forscher außerdem eine App namens SnoopSnitch im Google Play Store bereitgestellt. Mit dieser können Nutzer analysieren, ob auf ihrem Gerät auch tatsächlich die Patches installiert sind, die der Hersteller angibt. Im Falle des von uns getesteten Huawei Mate 9 in der TURN-ON-Redaktion war alles in Ordnung.

 So sieht die Analyse von SnoopSnitch aus, wenn alle Patches korrekt installiert wurden. fullscreen
So sieht die Analyse von SnoopSnitch aus, wenn alle Patches korrekt installiert wurden. (©Screenshot SnoopSnitch/TURN ON 2018)
Artikel-Themen
close
Bitte Suchbegriff eingeben