Sicherheitsupdates? Android-OEMs beim Schummeln erwischt

Google, Android, Sicherheit, Malware, Security, Virus, Schadsoftware, schloss Bildquelle: Google
Wer glaubt, dass sein Android-Smartphone nach einem vermeintlichen "Security-Update" wirklich sicherer geworden ist, wird jetzt überrascht sein: Laut einer Untersuchung der deutschen Sicherheitsfirma Security Research Labs täuschen einige Hardware-Partner nur ein Update vor. Gepatcht wird aber oft rein gar nichts. Das ist schon ein harter Tobak: Wie das Online-Magazin Wired berichtet, nehmen es manche Smartphone-Hersteller und die Chip-Industrie dahinter nicht ganz so genau mit den Patches, die Google für Android herausgibt um Sicherheitslücken zu schließen. So haben die Mitarbeiter der deutschen Sicherheitsfirma Security Research Labs entdeckt, dass einige OEMs einfach so weit gehen und Updates und damit die Behebung der Schwachstellen quasi vortäuschen. Infografik: Die Evolution von AndroidDie Evolution von Android

Es wird nur das Datum geändert, sonst nichts

Laut den Forschern haben sie einige Hersteller von Android-Geräten aufgespürt, die den Sicherheits-Patch-Level des Geräts absichtlich falsch darstellen, indem sie einfach das in den Einstellungen angezeigte Datum ändern, ohne tatsächlich Patches zu installieren.

Schaut der Nutzer in seine Einstellung geht er dann fälschlich von der Annahme aus, dass die mit dem dort angezeigten Patch veröffentlichten Security-Updates auch tatsächlich auf seinem Gerät angekommen sind.

Hack in the Box-Präsentation angekündigt

Die genauen Ergebnisse ihrer Untersuchung wollen Karsten Nohl und Jakob Lell von Security Research Labs morgen im Rahmen der "Hack in the Box"-Security-Conference in Amsterdam präsentieren. Einige sind aber vorab veröffentlicht worden.

Dieser Betrug ist dabei noch einmal ein ganz anderer Level als die eh schon bei einigen OEMs sehr lange dauernden Release-Zyklen - es ist einfach nur dreist. Laut Security Research Labs sieht man solch Verhalten bei den meisten Android-Gerätepartnern.

Es gibt aber Abstufungen. Das Schlusslicht bilden die beiden chinesischen Anbieter TCL und ZTE - und die Untersuchung bezieht sich dabei nur auf Security-Updates seit Oktober 2017, wir reden hierbei also von gerade einmal dem letzten halben Jahr.

Nicht veröffentlichte Patches:

  • 0-1 Google, Sony, Samsung, Wiko
  • 1-3 Xiaomi, OnePlus, Nokia
  • 3-4 HTC, Huawei, LG, Motorola
  • 4+ TCL und ZTE

Insgesamt ist es aber so, dass für Geräte, die mit MediaTek-Chips verkauft werden, häufig kritische Sicherheitspatches fehlen, da die notwendigen Patches einfach von MediaTek nicht zur Verfügung gestellt werden. Samsung, Qualcomm und HiSilicon haben dabei ein weitaus besseres Verhalten an den Tag gelegt und eher gepatcht.

Google will handeln

Interessant sind die ersten öffentlichen Reaktionen auf die Erkenntnisse der Forscher. Google hat demnach die Bedeutung der Untersuchung erkannt und will zu jedem Gerät mit einer festgestellten "Patch-Lücke" eine eigene Untersuchung einleiten, damit Geräte zukünftig das Sicherheits-Patch-Level ausführen, das sie angeblich besitzen. Es wird aber von Google auch erklärt, dass das Verpassen der Patches auch daraus resultieren kann, dass ein Hersteller eine mit einer Lücke behaftete Funktion entfernt, anstatt sie zu patchen. Auch müsse es sich nicht um von Google für Android zertifizierte Geräte handeln.

Siehe auch:
Download AirDroid - Android-Geräte vom PC aus verwalten Google, Android, Malware, Virus Google, Android, Malware, Virus Google
Mehr zum Thema: Android
Diese Nachricht empfehlen
Kommentieren64
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Blitzangebote auf Top OBD2 Autobeleuchtungstester!Blitzangebote auf Top OBD2 Autobeleuchtungstester!
Original Amazon-Preis
19,95
Im Preisvergleich ab
?
Blitzangebot-Preis
12,99
Ersparnis zu Amazon 35% oder 6,96

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden