Android Sicherheit – Android ist besser als Ihr denkt!

Erinnert sich noch jemand an Stagefright die Mutter aller Android-Sicherheitslücken? Damals hieß es 95% aller Android-Geräte, also Hunderte Millionen Smartphones und Tablets, hätten damit ausspioniert werden können – theoretisch.

„Die schlimmste in der Geschichte mobiler Betriebssysteme“,

Ihr Entdecker im Juli 2015

Gucken wir uns einmal an, was praktische geschehen ist, so stellen wir fest: nichts dergleichen. Weder Stagefright, noch andere medienwirksam veröffentlichte Sicherheitslücken wie Quadrooter oder Rowhammer hatten Angriffswellen zur Folge.

„Die wird es laut unseren Forschungsergebnissen auch in Zukunft nicht geben.“

Karsten Nohl, Gründer des Berliner IT-Sicherheitsunternehmens Security Research Labs (SRLabs)

Wie konnte das nicht passieren?

Nohl und seine Mitarbeiter haben für das Ausbleiben derartiger Angriffswellen zwei triftige Gründe identifiziert. Erstens haben sowohl Google, als auch mehrere OEM, nach dem Auftreten von Stagefright begonnen monatliche Sicherheits-Patches herauszugeben. Diese sind aber weder der alleinige Grund für die ausgebliebene Android-Apokalypse, noch hätten sie etwas dagegen ausrichten können, denn längst nicht alle Geräte erhalten diese Patches, und selbst Hersteller, die sich bemühen, vergessen das eine oder andere Update einfach, oder lassen es gar bewusst aus, wie SRLabs festgestellt hat.

Es kann also konstatiert werden, dass Security Patches lediglich – und wenn überhaupt – die halbe Wahrheit darstellen. Die Tatsache, dass wir als Endkunden oftmals eine Schaindiskussion über die Verteilung der Google Security Patches führen liegt, so scheint es, in einer weitreichenden Unwissenheit im Zusammenhang mit der Materie zu fussen, wenn es darum geht zu bestimmen, wie sicher unsere Smartphones in Wirklichkeit sind. Zweifelsohne täuschen sie eine Sicherheit vor, die

Hätte, hätte, Fahrradkette

Der zweite, viel wesentlichere Grund, den Nohl in seinen Ausführungen ins Feld geführt hat, ist die schlichte Tatsache, dass das ganze Betriebssystem im Laufe der Zeit derart komplex geworden sei, dass es nicht mehr ausreicht, mit einem Schadprogramm – in Fachkreisen Exploit genannt – eine einzelne Sicherheitslücke auszunutzen. Ein Nutzer kann sich an dieser Stelle quasi nur „selbst hacken“, indem er aus einem inoffiziellen App-Store eine bösartige App, oder viel eher eine gut gemachte Kopie einer populären App aus dem Google PlayStore installiert, um ihr danach sehenden Auges alle möglichen Zugriffsrechte zu gewähren.

Fakt ist jedoch, dass man inzwischen bereits ganze Exploitketten benötigt, um ein beliebige Android-Smartphones vollständig übernehmen, und fernsteuern zu können, ohne dass deren Besitzer etwas von der Infektion bemerken. So etwas ist aber nicht nur aufwendig, sondern auch extrem teuer, so dass derartig aufwändige Mittel lediglich in der Forschung und Entwicklung teurer Software zum Einsatz kommen. Massentauglich sind solche Hacks derweil in keiner Art und Weise.

Ich will Euch an dieser Stelle ein sehr anschauliches Beispiel geben: Der Sicherheitsforscher Georgoe Geshev hat Mitte März 2018 einen Angriff gegen ein Samsungs Galaxy S8 demonstriert, bei dem das Opfer nur auf einen Link klicken muss, damit die Angreifer volle und dauerhafte Zugriffsrechte auf sein Gerät bekommen. Geshev musste dafür aber ganze elf – in Zahlen: 11 – Schwachstellen in sechs Apps aneinanderreihen, um diesen Exploit ausnutzen zu können.

Der für die Sicherheit der Android-Plattform zuständige Google-Manager Rene Mayrhofer zeigte sich von dieser Demonstration außerordentlich beeindruckt, hielt das Beispiel aber gleichzeitig für „eine Bestätigung für die Wirksamkeit der Google-, also Android-, Sicherheitsstrategie. Aber zurück zu unserem Beispiel, denn der nötige Aufwand, um Androids Abwehrtechniken umgehen zu können, ohne dass das Opfer es mitbekommt, spiegelt sich hier deutlich wieder.

Leider ist die öffentliche Wahrnehmung von Android jedoch eine völlig andere – und viele Techblogs springen leider ebenfalls immer wieder auf diesen Zug der Wahrnehmung auf. Nicht zuletzt zeigt sich dies auch durch die Tatsache, wie Sicherheitsexperten auf die Frage reasgieren, wie man ein Android-Smartphone sicher macht. Die Antwort hierauf ist die immer gleiche Leier: Besorg dir ein iPhone.

Dabei gilt:

„Android als Technologie ist in den letzten Jahren sehr viel sicherer geworden, vermutlich sogar sicherer als Windows.“

Karsten Nohl

Allerdings würde er nicht behaupten, Android sei sicherer als Apples iOS. Schon allein, weil Apple seine Sicherheitsupdates gemeinsam mit den aktuellen Betriebssystem-Updates zentral an alle Nutzer verteilt, während ein Android-Patch von Google auch von den Chiphersteller, und dem jeweiligen Mobilfunkanbieter abhängt, damit er abgenommen und an den Kunden weitergereicht werden kann. Bei jedem dieser Beteiligten kann ein einzelner Patch daher auch hängenbleiben. Und das passiert immer wieder.

Hinzu kommt laut Nohl, dass die Nutzer oftmals etwas völlig anderes signalisiert bekommen. So findet sich im Einstellungsmenü ihres Gerätes, meist unter dem Punkt „Über das Telefon“, der Stand der Sicherheits Patches. Angezeigt wird aber lediglich ein Datum, und nicht alle installierten Updates. Bis zu diesem, so muss man es als Nutzer lesen, wurde alles installiert. Laut den Untersuchungen von SRLabs stimmt das meist nicht.

Werbeanzeigen

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Create a website or blog at WordPress.com

Nach oben ↑

Sascha Vilz

Langenfeld, Kreis Mettmann, NRW, Deutschland, Europa, und die Welt

Caschys Blog

Smart Home, Software, Hardware, Mobile Computing & Co

nadjasgeeky.wordpress.com/

Welcome to all the geekful things.

Kreativ Blog - DIY & Gadgets

DIY Blog aus Österreich für kreative Projekte und smarte Produkte

USCarlos

Coffee, Tech, Family, and Fun

Was (keine) Freude Macht

Weniger ist mehr

Apple4youngsters

All about Technic

Apple Support Service

News, Support, Tipps und Tricks

Vibora.de

Die Schlange durch die OpenSource Welt

Smartphone Guru

Welcome to my Blog about Android, Tech and the Digitized World!

%d Bloggern gefällt das: