Fr. 13. April 2018 um 14:38

Geben viele Hersteller nur vor, den neusten Security Patch installiert zu haben?

von Marcel Laser0 Kommentare

Digitale Sicherheit ist ein grosses Gut und bekommt vor allem in der heutigen Zeit eine immer grössere Aufmerksamkeit. Google stellt für Android monatliche Sicherheits-Updates bereit, welche auch als Security Patch bezeichnet werden. Diese schliessen bekannte Lücken und die Hersteller binden diese in unterschiedlichen Zeitintervallen auch in ihre Geräte ein, wenn auch nicht immer monatlich. Eine Studie der deutschen Sicherheitsfirma Security Research Labs fördert nun etwas eher erschreckendes zutage: Viele Hersteller geben nur vor auf dem neusten Patch Level nachgebessert zu haben.

“Patch Gap”: Auch Samsung, HTC, Huawei und Sony betroffen

Ihr glaubt also euer Smartphone hat das neuste Security Patch Level, nur weil es in den Einstellungen nach dem letzten Update so da steht? Das könnte durchaus ein Trugschluss sein, wie die Firma SRL aus Deutschland nun in einem zweijährigen Studium herausfand. Viele Smartphone-Hersteller geben anscheinend nur an, dass das Gerät auf dem Sicherheitslevel von Google wäre, welches in den Einstellungen angegeben wird, aber das stimmt in einigen Fällen wohl nicht immer.

 

SRL untersuchte in zwei Jahren mehr als 1’200 Smartphones, von Highend bis Budget, mit Android-Betriebssystem und deren Updateverhalten und grub auch etwas tiefer, um herauszufinden ob die Geräte tatsächlich immer den Sicherheitspatch installiert haben, der in den Einstellungen vorgegeben wird. Betroffen sind an dieser Stelle auch Hersteller wie Samsung, HTC, Sony, Huawei und viele weitere. Meistens hinken diese trotz aktuellem Patch noch 3-4 Monate hinterher.

 

Die Ergebnisse sind allerdings recht unterschiedlich und werden in Kurzform in dem unten gezeigten Bild verdeutlicht. Das Galaxy J3 aus dem Jahr 2016 hat es laut SRL besonders schlimm erwischt, denn in den Einstellung wird angegeben, dass es mit dem neusten Update das Security Patch Level von Dezember 2017 bekommen hätte. Ein genauer Blick in den Code zeigt allerdings, dass es nicht einen einzigen Security Patch aus dem letzten Jahr erhalten hat. Es fehlen also mindestens 12 Sicherheits-Updates.

“We find that there’s a gap between patching claims and the actual patches installed on a device. It’s small for some devices and pretty significant for others” – Karsten Nohl, Gründer von SRL

Entspricht die Studie von SRL der Wahrheit, so darf bisherigen Angaben der Hersteller nicht trauen. Das Huawei Mate 10 Pro besitzt immer noch einen Sicherheitspatch vom Januar 2018, was allerdings nicht heissen muss, dass ihr tatsächlich auch dieses Sicherheitslevel im Gerät vorfinden werdet. Ein recht beunruhigendes Gefühl. Ebenfalls betroffen sind HTC, Sony, Xiaomi, OnePlus und weitere grosse Hersteller. SRL nennt dieses Phänomen in ihrem Bericht “Patch Gap”.


Hier sieht man, wie viele Patches man im Schnitt eventuell bei den entsprechenden Hersteller hinterherhinken könnte.

Im Klartext heisst das also, dass wenn man sich auf das angegebene Sicherheitslevel verlässt, dass man sehr wahrscheinlich nicht sicher sein kann, dass dieses auch wirklich installiert wurde. Es wird im Umkehrschluss also nur suggeriert, dass die neusten Sicherheitspatches installiert wurden, was natürlich alles andere als angenehm ist und sich auf die Angaben der Hersteller verlässt. Viele von ihnen sollen auch einfach nur das Datum ändern, einfach nur damit es “sicher aussieht”. Eine absichtliche Falschangabe also?

 

Auch wenn Google, Samsung und Sony beispielsweise mit 0-1 Monat im Schnitt versäumte Updates aufweisen, so ist es dennoch bedenklich, wenn angeblich der neuste Sicherheitspatch von März 2018 installiert ist, man selbst aber intern noch auf dem Level von Februar 2018 hängt. Eine falsche Angabe bleibt, egal um wie viele Monate es sich hier handelt, eben eine falsche Angabe.

“Sometimes these guys just change the date without installing any patches. Probably for marketing reasons, they just set the patch level to almost an arbitrary date, whatever looks best.” – Karsten Nohl

Google selbst hat sich bereits zu dem Thema geäussert, sagt aber nur, dass einige der Geräte nicht für Android zertifiziert seien. Das ist allerdings ein relativ schwaches Argument, denn aus der Studie geht hervor, dass nahezu alle grossen Hersteller ebenfalls betroffen sind. So hinkt Samsung zwar im Schnitt nur einen Monat hinter den vorgegebenen Patches hinterher, aber Huawei beispielsweise kann sogar bis zu vier Monate hinter dem angegebenen Level liegen.

 

Ebenfalls eine tragende Rolle soll der verwendete Chipsatz in den Geräten spielen. Wer im Smartphone einen MediaTek-SoC vorfindet hinkt im Schnitt bis zu 9.7 Patches hinterher. Bei Qualcomm sollen es im Schnitt lediglich 1.1 Patches sein. In der Studie wurden Geräte aller Kategorien berücksichtigt, egal ob Budget-Phone oder Highend-Flaggschiff.

 

Am heutigen Freitag in Amsterdam findet übrigens die Hack in the Box Sicherheitskonferenz statt, wo die beiden Gründer der Sicherheitsfirma SRL noch einmal wesentlich detaillierter auf diese Situation eingehen wollen.

Auch der Chipsatz soll, neben den Smartphone-Herstellern selbst, eine tragende Rolle spielen.

 

 

Quelle: Wired

vg-wort
Das könnte Sie auch interessieren

Schreibe einen Kommentar

Teilen