Im Gefolge der ersten Berichte über schwere Sicherheitslücken im Media-Framework von Android hat Google vor mittlerweile fast drei Jahren damit begonnen, monatliche Updates zu veröffentlichen. In einer Art Patch Day werden dabei alles sicherheitsrelevanten Fehlerbereinigungen der letzten Wochen zusammengefasst. Seitdem wird bei jedem Android-Gerät ein Security Patch Level angegeben, der die Nutzer über den aktuellen Stand ihrer Softwareausstattung in dieser Hinsicht informiert. So zumindest das Versprechen, die Realität scheint aber etwas anders auszusehen.

Studie

Die Sicherheitsforscher von SR Labs haben 1.200 unterschiedliche Android-Smartphone-Modelle angesehen, und kommen dabei zu einem erschreckenden Ergebnis, wie "Wired" vorab berichtet. Fast alle Hersteller lügen bei ihren Angaben zum Security Patch Level. Bis auf Google liefert kein einziger Smartphone-Anbieter konsistent all jene Patches, die eigentlich zum Erreichen eines gewissen Patch Levels vorgeschrieben sind.

Während bei einzelnen Anbietern nur ab und an einmal ein Patch "übersehen" wird, scheinen andere ganz bewusst die Vorschriften zu ignorieren. So berichtet der deutsche Sicherheitsforscher von mehreren Fällen, bei denen Smartphone-Hersteller Updates ausgeliefert haben, die vermeintlich wichtige Sicherheitsbereinigungen enthalten. In Wirklichkeit wurde lediglich das Datum des Patch Levels verändert, ohne dass auch nur ein einziger Fehler ausgeräumt wurde.

Von Samsung bis ZTE

Während solch extreme Auswüchse eher kleineren Herstellen vorbehalten waren, ist bei bekannten Namen ebenfalls nicht alles im Reinen. Von all den getesteten Geräten haben lediglich Googles Pixel und Pixel 2 immer sämtliche versprochenen Patches auch tatsächlich bekommen. Ebenfalls relativ gut hat sich Samsung geschlagen, auch wenn es hier einzelne Modelle gibt, bei denen sich beim südkoreanischen Marktführer ebenfalls eklatante Unterschiede zwischen Versprechen und Realität zeigen. Das Samsung J3 aus dem Jahr 2016 verspricht etwa sämtliche Sicherheitslücken des Jahres 2017 bereinigt zu haben, während in Wirklichkeit gleich 12 davon offengelassen wurden – zwei davon mit der höchsten Warnstufe "kritisch" versehen.

Sony und Wiko waren zwei andere Hersteller, die sich in der Untersuchung ebenfalls noch relativ gut geschlagen haben. Deutlich schlechter sieht es dann schon bei Firmen wie Xiaomi, One Plus und Nokia aus, die recht regelmäßig Patches übersehen. Noch häufiger passierte dies bei HTC, Huawei, LG und Motorola, die allesamt im Schnitt zwischen drei und vier Patches pro Monat vergessen. Die chinesischen Firmen TCL und ZTE bilden dann von den bekannten Namen das Schlusslicht.

Hardware?

Eine gewisse Rolle dürfte dabei spielen, welche Hardware eingesetzt wird. Während Samsung etwa bei Geräte mit eigenen Prozessoren praktisch nie ein Update übersehen hat, waren es bei Geräten mit Mediatek-Chips im Schnitt 9,7 Patches pro Monat. Freilich gibt es hierfür auch noch eine andere Erklärung, werden doch Mediatek-Prozessoren üblicherweise in billigeren Geräten und von vielen kleineren Herstellern eingesetzt.

Reaktion von Google

Von Seiten Googles reagiert man auf den Bericht mit dem Hinweis darauf, dass hier zum Teil auch Geräte untersucht wurden, die nicht offiziell durch Google zertifiziert wurden. Zudem könne es in einzelnen Fällen auch dazu kommen, dass ein Patch nicht eingespielt wurde, weil der Hersteller lieber gleich das betreffende Feature entfernt hat. Trotzdem betont man, dass es sich hierbei um eine wichtige Studie handle, die auf ein reales Problem verweist. Insofern habe man bereits damit begonnen, all die Ergebnisse näher unter die Lupe zu nehmen. Dort wo man sie reproduzieren kann, nehme man Kontakt mit den jeweiligen Herstellern auf.

Einig sind sich Nohl und Google bei einem anderen Punkt: Nämlich, dass Sicherheitslücken derzeit nicht die größte Gefahr für Android-Geräte darstellt. Aufgrund zahlreicher grundlegender Sicherheitsmaßnahmen von Google sei es meist sehr schwer die betreffenden Lücken auch erfolgreich auszunutzen. Entsprechend stellen bösartige Apps, die einfach von den Nutzern die notwendigen Berechtigungen einfordern, weiterhin die größte Gefahr. Anders sieht es natürlich bei gezielten Attacken gegen einzelne Nutzer aus, da seine versäumte Patches eine massive Schwächung des Systems.

Selber testen

Weitere Details wollen die Sicherheitsforscher von SR Labs am Freitag in einem Vortrag bei der "Hack in the Box"-Sicherheitskonferenz in Amsterdam präsentieren. Parallel dazu soll auch eine neue Version der Android-App Snoopsnitch veröffentlicht werden, mit der die Nutzer ihre Geräte selbst auf versäumte Patches testen können. (Andreas Proschofsky, 12.4.2018)