Update, 13. April: Google hat dazu folgende Aussage gemacht der Rand:
Wir möchten Karsten Nohl und Jakob Kell für ihre kontinuierlichen Bemühungen danken, die Sicherheit des Android-Ökosystems zu stärken. Wir arbeiten mit ihnen zusammen, um ihre Erkennungsmechanismen zu verbessern, um Situationen zu berücksichtigen, in denen ein Gerät ein alternatives Sicherheitsupdate anstelle des von Google vorgeschlagenen Sicherheitsupdates verwendet. Sicherheitsupdates sind eine von vielen Ebenen zum Schutz von Android-Geräten und -Benutzern. Ebenso wichtig sind integrierte Plattformschutzfunktionen wie Anwendungs-Sandboxing und Sicherheitsdienste wie Google Play Protect. Diese Sicherheitsebenen – kombiniert mit der enormen Vielfalt des Android-Ökosystems – tragen zu der Schlussfolgerung der Forscher bei, dass die Fernausnutzung von Android-Geräten weiterhin eine Herausforderung darstellt.
Verpasste Patches machen Ihr Telefon sicherlich anfälliger als aktuelle Patches, aber das bedeutet nicht, dass Sie völlig ungeschützt sind. Monatliche Patches helfen auf jeden Fall, aber es gibt allgemeine Maßnahmen, um sicherzustellen, dass alle Android-Telefone über ein gewisses Maß an erhöhter Sicherheit verfügen.
Einmal im Monat aktualisiert Google die Android-Sicherheitsbulletin und veröffentlicht neue monatliche Patches, um Schwachstellen und Fehler zu beheben, sobald sie auftauchen. Es ist kein Geheimnis, dass viele OEMs ihre Hardware nur langsam mit diesen Patches aktualisieren, aber das ist so nun entdeckt worden dass einige von ihnen behaupten, ihre Telefone aktualisiert zu haben, obwohl sich in Wirklichkeit überhaupt nichts geändert hat.
Diese Enthüllung wurde von Karsten Nohl und Jakob Lell von Security Research Labs gemacht und ihre Ergebnisse wurden kürzlich auf der diesjährigen Hack in the Box-Sicherheitskonferenz in Amsterdam vorgestellt. Nohl und Lell untersuchten die Software von 1200 Android-Handys von Google, Samsung, OnePlus, ZTE und anderen und stellten dabei fest: festgestellt, dass einige dieser Unternehmen das Erscheinungsbild des Sicherheitspatches ändern, wenn sie ihre Telefone aktualisieren, ohne sie tatsächlich zu installieren ihnen.
Das Samsung Galaxy J3 aus dem Jahr 2016 behauptete, 12 Patches zu haben, die einfach nicht auf dem Telefon installiert waren.
Man geht davon aus, dass einige der verpassten Patches versehentlich erstellt wurden, aber Nohl und Lell stießen auf bestimmte Telefone, bei denen einfach nicht alles zusammenpasste. Während zum Beispiel das Samsung Galaxy J5 aus dem Jahr 2016 die vorhandenen Patches genau auflistete, schien das J3 aus demselben Jahr seit 2017 jeden einzelnen Patch zu haben, obwohl zwölf davon fehlten.
Die Untersuchung ergab auch, dass der in einem Telefon verwendete Prozessortyp einen Einfluss darauf haben kann, ob es mit einem Sicherheitspatch aktualisiert wird oder nicht. Bei Geräten mit Samsungs Exynos-Chips wurde festgestellt, dass nur sehr wenige Patches übersprungen wurden, wohingegen bei Geräten mit MediaTek-Chips im Durchschnitt 9,7 Patches fehlten.
Nachdem Nohl und Lell alle Telefone in ihren Tests durchgesehen hatten, erstellten sie ein Diagramm, das darlegte, wie viele Patches OEMs übersehen, aber dennoch angeblich installiert hatten. Unternehmen wie Sony und Samsung verfehlten lediglich Werte zwischen 0 und 1, bei TCL und ZTE wurde jedoch festgestellt, dass sie 4 oder mehr überspringen.
- 0-1 verpasste Patches (Google, Sony, Samsung, Wiko)
- 1-3 verpasste Patches (Xiaomi, OnePlus, Nokia)
- 3-4 verpasste Patches (HTC, Huawei, LG, Motorola)
- 4+ verpasste Patches (TCL, ZTE)
Kurz nachdem diese Ergebnisse bekannt gegeben wurden, sagte Google, dass es Untersuchungen zu jedem dieser Fälle einleiten werde schuldige OEMs, um herauszufinden, was genau los ist und warum Benutzer belogen werden, welche Patches sie durchführen und welche nicht haben.
Aber was halten Sie davon? Sind Sie von den Neuigkeiten überrascht und wird sich das künftig auf die Telefone auswirken, die Sie kaufen? Ton aus in den Kommentaren unten.
Warum ich im Frühjahr 2018 immer noch ein BlackBerry KEYone verwende