Smartphone-Hersteller mogeln bei Android-Patches
Mehr oder minder gepatched: Viele Android-Smartphones gaukeln Sicherheit nur vor, zeigt eine umfassende Untersuchung
CAFM-NEWS – Einige Smartphone-Hersteller mogeln bei den Android-Patches. Das haben zwei Berliner IT-Sicherheits-Forscher herausgefunden.
Die beiden Angestellten der Security Reserach Labs (SRL) hatten innerhalb von zwei Jahren über 1200 Android-Smartphones unter die Datenlupe genommen. Dabei zeigte sich, dass einige Hersteller die von Google herausgegebenen Patches und Sicherheitshinweise teilweise über mehrere Monate hinausschieben oder sogar überspringen.
Während die Forscher vermuten, dass die übersprungenen Google-Hinweise aus Versehen passieren, betrachten Sie die Verschiebe-Taktik als manipulativ. Der Grund: Zwar würden bei einigen Herstellern die Aktualisierungs-Daten der Firmware angepasst und Versionsnummern geändert. Die ausgelieferte Software böten aber gar keine Veränderungen.
Kritischer als diese mogelnden Schlamper sind nur noch solche Hersteller, die sich gar nicht erst um regelmäßige Updates kümmern.
Um zu ihren Ergebnissen zu kommen, nutzten die Forscher Reverse Engineering und binäre Vergleiche. Ihre Ergebnisse veröffentlichten sie am vergangenen Freitag, den 13., auf der IT-Sicherheitskonfernz Hack in the Box.
Am schlechtesten schnitten in dem Vergleich die Hersteller Alps, TCL, OPPO und ZTE mit vier und mehr übersprungenen Patches ab.
HTC, Blackberry, Asus, Fairphone, LG, Huawei und Lenovo waren mit zwei bis vier übersprungenen Patches auch nicht vorbildlich – wobei besonders pikant ist, das Lenovo 2014 Google den Handy-Hersteller Motorola abgekauft hat, bei dessen Geräten nur 1 bis 2 Patches fehlten.
Mit keinem oder einem fehlenden Patch glänzen Google, Sony, BQ, LeEco, ZUK und Samsung.
Die Koreaner haben mit 12 fehlenden Patches beim Samsung Galaxy J3 allerdings ein pechschwarzes Schaf in den Reihen, zumal Google zwei der fehlenden Patches als kritisch einstuft, der Nutzer aber konstant vorgegaukelt bekommt, alles sei prima, sicher und gut.
Womit erneut die Frage im Raum steht, wie sicher Android für Geschäftsanwendungen wirklich ist. Das allerdings beantwortet die Untersuchung nicht.
Abbildungen: mohamed_hassan/pixabay unter Creative Commons Lizenz CC0
