Kommentar – Android Sicherheitsupdates und was sie mit der Chip-Industrie zu tun haben

Nicht genug, dass viele Smartphone Produzenten sehr langsam mit der Lieferung von Security-Updates für Android sind, das sind wir fast schon gewöhnt, nein, oft tun sie wohl auch nur so, als hätten sie die Sicherheitslöcher gestopft. Für diejenigen, die es nicht wissen, veröffentlicht Google jeden Monat Android-Sicherheitspatches. Diese werden sofort auf den Pixel- und Nexus-Geräten des Unternehmens veröffentlicht. OEMs von Drittanbietern können Sie dann in der Regel zu einem späteren Zeitpunkt einführen.

Wie sich jedoch herausstellt, sind diese OEMs möglicherweise nicht immer ganz ehrlich in Bezug darauf, welche Sicherheitsupdates sie auf Ihrem Gerät installieren, so heißt es in einem Bericht der Kollegen von Wired. Security Research Labs führte aufgrund dieser Gerüchte eine Prüfung der Firmware von 1.200 Telefonen von über einem Dutzend verschiedenen OEMs durch und stellte fest, dass nicht nur Sicherheitsupdates fehlten, sondern dass OEMs tatsächlich behaupten, dass die Patches installiert wurden, in vielen Fällen einfach nur das Datum des Updates geändert haben.

Wie sicher sind die Hersteller?

Generell lässt sich festhalten, wer ohne Sünde ist, werfe den ersten Stein. Es gibt heir kaum einen Hersteller, der wirklich fehlerfrei ist.

Lücken nach Hersteller

Die schlimmsten Täter im Test waren TCL und ZTE, bei welchen vier oder mehr Patches nicht bekannt waren. Es folgten HTC, Huawei, LG und Motorola, bei welchen allen im Durchschnitt drei oder vier Patches fehlten. Xiaomi, OnePlus und Nokia haben es besser gemacht, mit ein bis drei fehlenden Updates. Schließlich werdet Ihr wenig überrascht sein, zu hören, dass Google in der Kategorie mit Null fehlenden Patches zu finden ist,. Gleiches gilt – für die getesteten Geräte – aber auch für Sony, Samsung und Wiko.

Lücken nach Chip-Hersteller

Auch die Chip-Hersteller wurden berücksichtigt. Geräte mit Samsung-Chips hatten durchschnittlich weniger als 0,5 fehlende Patches, während Qualcomm durchschnittlich 1,1 hatte. Huawei’s HiSilicon kam mit 1,9 und MediaTek mit erstaunlichen 9,7 fehlenden Patches pro Gerät daher. Es scheint daher nahe zu liegen, dass die Patch Level – die ja auf Firmware Ebene leigen – eine direkte Abhängigkeit zu deren Chip-Hersteller, sowie dessen Lieferung von Sicherheits-Uptades, um Lücken zu schließen, liegen. Dies zeigte insbesonder bereits die Thematik rund um die Blueborn-, und noch vielmehr die QuadRooter-Sicherheitsücken.

Es ist unklar, ob der Hersteller der Chipsätze tatsächlich etwas mit den nicht gepatcheten Lücken der OEM zu tun hat. Schließlich sind Samsung-Chips eigentlich nur in Samsung-Geräten zu finden, und HiSilicon kommt in Huawei-Geräten vor. MediaTek Chips sind oft in kostengünstigeren Geräten zu finden, so dass sie nicht so häufig aktualisiert werden.

Wie aus dem Bericht weiter hervorgeht, bedeutet das Fehlen von ein oder zwei Sicherheitsupdates für Euer Smartphone nicht, dass es hierdurch leichter zu hacken ist. Dennoch ist die Vorstellung, dass einige OEMs sagen, dass diese Patches auf Ihrem Gerät installiert sind, wenn sie nicht installiert sind, beunruhigend.

Google hatte sich Wired gegenüber, die diese Forschung einer größeren Öffentlichkeit präsentiert haben, dahingehend zu dem Problem geäußert, dass dennoch nicht alles verloren sei, weil viele Sicherheitsvorkehrungen im Betriebssystem selbst manche der Bugs auf Firmware-Ebene sehr schwer angreifbar machen, und wiedern andere Patches aufgrund fehlender Features in Smartphones auch gar nicht notwendig wären. Sie wollen aber die Arbeit der SRL Forscher in jedem Einzelfall überprüfen, sofern es sich bei den getesteten, um zertifizierte Android Geräte handelt.

Eins bestätigen aber auch die Forscher erneut: die Hacks über solche Bugs werden eher rar sein im Vergleich zu Hacks über Apps, Und wenn dann würden diese auch eher von Geheimdienstorganisationen unternommen, da sie hochgradig kostspielig seien, und einem Hacker nicht den erwünschten Gewinn bringen könnten. Allerdings setzen auch die Letztgenannten wohl lieber einfache Zero-Day-Exploits ein, d.h. Sicherheitslücken, die eben auch durch Google selbst noch nicht gepatcht wurden.

Security-Patch Level per SnoopSnitch prüfen

Mittels der SRL-App SnoopSnitch lässt sich übrigens u.a. genau das alles am eigenen Smartphone überprüfen, d.h. jeder kann selbst nachsehen, welche Patches installiert wurden. Es scheint allerdings dort auch false positives zu geben.

Screenshot_20180413-072657.png
SnoopSnitch: Android Security-Patch-Level des HTC U11

Ich habe mit die App einmal installiert und den Pacht-Level meines HTC U11 hierüber überprüft. HTC gibt, bei der mir vorliegenden Firmware-/ROM-Variante, das Security-Patch Level mit dem 01. November 2017 an. Dabei zeigt sich, dass HTC im vorliegenden Fall in der Tat alle Bugs bis einschließlich November gepatched hat. Es fehlen lediglich, und logischer Weise die Security-Patches aus dem Dezember, 9 an der Zahl. Also ist es am Ende wahrscheinlich entweder weniger Schlimm, oder es sind insbesondere Smartphones Mid- und Low-End-Segment von diesen Abweichungen betroffen.

 

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Create a website or blog at WordPress.com

Nach oben ↑

%d Bloggern gefällt das: