Sicherheit: Smartphone-Hersteller fälschen Android-Patch-Datum

Nicolas La Rocco 128 Kommentare
Sicherheit: Smartphone-Hersteller fälschen Android-Patch-Datum

Manche Smartphone-Hersteller machen falsche Angaben zu den auf dem Smartphone installierten Android-Sicherheitsupdates. Das haben Karsten Nohl und Jakob Lell im Rahmen der Konferenz Hack in the Box herausgefunden. Das Patch-Datum in den Einstellungen wird dabei lediglich verändert, ohne die Patches tatsächlich einzuspielen.

Geht es um schnelle Updates auf die aktuelle Android-Version oder das Einspielen der monatlich von Google zur Verfügung gestellten Sicherheitsupdates, hatte Android bereits vor den heutigen Enthüllungen einen schweren Stand. Neue Android-Versionen werden abseits der Nexus- und Pixel-Geräte von Google wenn überhaupt erst nach Monaten verteilt, bei den monatlichen Sicherheitsupdates sieht es häufig nicht besser aus.

Wie Karsten Nohl und Jakob Lell von Security Research Labs nun herausgefunden haben, wird darüber hinaus bei den tatsächlich installierten Sicherheitsupdates geschummelt. Ihre Entdeckungen präsentieren die Forscher heute im Rahmen der Konferenz Hack in the Box in Amsterdam, eine Vorabmeldung der Forschungsergebnisse liegt der Seite Wired vor.

Das Datum wird einfach verändert

Demnach verändern manche Smartphone-Hersteller einfach nur das in den Android-Einstellungen hinterlegte Datum der vermeintlich eingespielten Sicherheitsupdates, ohne diese aber tatsächlich auf dem Gerät installiert zu haben. Anwender wiegen sich somit in falscher Sicherheit, wenn sie auf Basis dieser Information davon ausgehen, ein Smartphone oder Tablet mit den aktuellen Android-Sicherheitsupdates zu besitzen. „Wir haben herausgefunden, dass es eine Lücke zwischen den Patch-Angaben und den tatsächlich auf dem Gerät installierten Patches gibt“, sagte Karsten Nohl. Er geht davon aus, dass manche Smartphone-Hersteller das Patch-Datum aus Marketing-Gründen ändern: „Was auch immer am besten aussieht.

Security Research Labs hat die Firmware von mehr als 1.200 Smartphones von mehr als einem Dutzend Herstellern untersucht und auf den Geräten die seit 2017 verteilten Android-Patches überprüft. Die Geräte stammen von bekannten Herstellern wie Google, Samsung, Huawei, LG, HTC oder Motorola. Vertreten sind aber auch Wiko, OnePlus, Xiaomi oder ZTE. Eine lückenlose Pflege mit allen zur Verfügung gestellten Android-Sicherheitsupdates konnten die Forscher lediglich bei Googles Pixel und Pixel 2 nachweisen. Bei allen anderen Anbietern, darunter auch große Hersteller wie Samsung, wurden stellenweise Lücken und falsche Angaben entdeckt.

Rangliste nach fehlenden Patches
Rangliste nach fehlenden Patches (Bild: Wired)

Nohl gibt an, dass manche Hersteller wie Sony oder Samsung manchmal einen oder zwei Patches aus Versehen ausgelassen hätten. Dabei ist zu beachten, dass jedes der monatlichen Sicherheitsupdates aus oft zahlreichen Patches besteht. Andere Entdeckungen seien aber schwieriger zu erklären, so Nohl. Er nimmt das 2016er Samsung Galaxy J3 als Beispiel, das angibt, alle in 2017 verteilten Patches erhalten zu haben, obwohl zwölf davon fehlen, wie die Untersuchung ergeben hat.

Auch das SoC spielt eine Rolle bei Patches

Wie viele Patches bei welchem Hersteller im Durchschnitt fehlen, führen die Sicherheitsforscher in einer Tabelle auf. Dabei schneiden Google, Sony, Samsung und Wiko am besten ab. Bei Xiaomi, OnePlus und Nokia fehlten im Durchschnitt einer bis drei Patches, bei HTC, Huawei, LG und Motorola sind es bereits drei bis vier. Bei TCL und ZTE fehlten im Schnitt mehr als vier Patches. Security Research Labs sieht zudem eine Verbindung zum verwendeten System-on-a-Chip (SoC). Günstigere Geräte mit Chips von MediaTek und HiSilicon schneiden schlechter ab, weil die Chip-Fertiger keine Patches für die Smartphone-Hersteller anfertigen. Die Reihenfolge von gut nach schlecht lautet hier: Samsung, Qualcomm, HiSilicon, MediaTek.

Rangliste nach fehlenden Patches nach SoC
Rangliste nach fehlenden Patches nach SoC (Bild: Wired)

Google argumentiert, dass fehlende Patches als Teil eines monatlichen Sicherheitsupdates nicht zwangsläufig ein Sicherheitsrisiko darstellen müssen. Manche Geräte seien gar nicht mit der betroffenen Komponente ausgestattet gewesen oder das Feature wurde im Rahmen eines Updates entfernt. Der entsprechende Patch werde dann nicht mehr benötigt, fehle dann aber eben auch bei der Untersuchung des Smartphones. Nohl argumentiert allerdings dagegen und sagt, dass dies nur sehr selten der Fall gewesen sei.

Smartphone auf Android-Patches untersuchen

Security Research Labs bietet auf Google Play die kostenfreie App SnoopSnitch an, die im Rahmen der aktuellen Erkenntnisse dahingehend überarbeitet wurde, dass sie fehlende Android-Patches des Betriebssystems erkennt.

Update 16.04.2018 17:13 Uhr

Die Samsung Electronics GmbH (SEG) hat sich in einem Statement zum explizit von Security Research Labs bemängelten Galaxy J3 (2016) geäußert. Darin widerspricht der Konzern der Behauptung, zwölf Patches seien nicht verteilt worden. „Samsung nimmt das Thema Sicherheit sehr ernst. Alle unsere Produkte und Supportverfahren sind darauf ausgelegt. Nachdem wir die vermeintlich nicht ausgerollten Sicherheitspatches in Zusammenarbeit mit Google überprüft haben, können wir berichten, dass das Galaxy J3 (2016) diese Sicherheitsupdates erhalten hat. Wir werden weiterhin eng mit unseren Partnern zusammenarbeiten, um Software- und Sicherheitsupdates für unsere Geräte auszuliefern.

Bei Fragen zum Thema können sich Kunde über mehrere Wege an das Unternehmen wenden.