Android-Updates: Fehlende Sicherheitsupdates auch bei LineageOS [UPDATE]

Nach einer Analyse des von SRLabs entwickelten Tools SnoopSnitch, das im Google Play kostenlos zur Verfügung steht, sind von fehlenden Sicherheitspatches nicht nur Smartphones bekannter Hersteller betroffen, sondern auch alternative Android-Versionen wie LineageOS.

Auf dem LG G3 mit aktuellem LineageOS 14.1 sind laut Systeminfo die Android-Sicherheitspatches vom 5. März 2018 integriert. Laut SnoopSnitch fehlen aber mindestens drei Patches. Es könnten aber noch mehr sein, denn in 13 Fällen liefert das Tool kein eindeutiges Ergebnis.

Auch beim Google Nexus 5 mit LineageOS 14.1 und installierten Sicherheitspatches vom 5. März 2018 ermittelt SnoopSnitch einen fehlenden Sicherheitspatch. Bei 13 Überprüfungen ist sich das Tool nicht sicher, ob die Patches integriert sind. Der Parameter „After claimed patch level“ gibt an, wie viele Sicherheitslücken nach dem aktuell im Telefon installierten Sicherheitspatch-Level beseitigt wurden. Beim Nexus 5 mit Patch-Level 5. Juni 2017 sind bis jetzt 47 neue Lücken hinzugekommen.

Während Smartphonehersteller wie Google und Samsung für einige Geräte drei Jahre lang mit Sicherheitsupdates versorgen,  –  bei Samsungs-Enterprise-Geräten sind es sogar bis zu viere Jahre -, geben sich andere Hersteller deutliche weniger Mühe. Das Sony Xperia Z3 Compact hat den letzten Sicherheitspatch im Mai 2016 erhalten. Dementsprechend liefert SnoopSnitch für das Z3 Compact 126 ungepatchte Sicherheitslücken auf. Bei 10 ist sich das Tool nicht sicher, ob sie korrekt gepatcht wurde.

Nun man mag einwenden, dass das Xperia Z3 Compact auch schon 2014 erschienen ist und nach vier Jahren mit keinen Updates mehr zu rechnen ist. Allerdings gibt es auch andere Hersteller die ihre Telefone deutlich länger mit Updates versorgen. So hat beispielsweise das im selben Jahr erschienenen Samsung Galaxy S5 im letzten Monat noch eine Sicherheitsaktualisierung erhalten.

Gefahr durch fehlende Sicherheitspatches

Obwohl der Entwickler von SnoopSnitch und Gründer der Sicherheitsfirma Karsten Nohl auf die Bedeutung monatlicher Sicherheitspatches hinweist, sagt der Sicherheitsforscher aber auch, dass allein ein fehlender Patch bei weitem nicht ausreicht, um ein Android-Telefon aus der Ferne anzugreifen. Moderne Betriebssysteme verfügen über mehrere Sicherheitsbarrieren wie ASLR und Sandboxing, die in der Regel durchbrochen werden müssen, um ein Telefon aus der Ferne zu hacken. Aufgrund dieser Komplexität reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Bugs aneinander gekettet werden. Erst kürzlich hatte ein Sicherheitsforscher sechs verschiedene Apps nötig, die insgesamt 11 Schwachstellen ausnutzten, um Zugriff auf ein Galaxy S8 zu bekommen.

Laut Nohl haben auch Cyberkriminelle das erhöhte Sicherheitslevel von Android erkannt. Statt ein Android-Smartphone zu hacken, konzentrieren sie sich stattdessen auf Social-Engineering, um Anwender zur Installation von Schadsoftware zu verleiten und diesen dann übermäßige Berechtigungen zu erteilen. Tatsächlich wurden laut Nohl im letzten Jahr kaum kriminelle Hacking-Aktivitäten rund um Android beobachtet.

Somit sind die nicht gepatchte Sicherheitslücken lediglich für staatlich geförderte und andere hartnäckige Hacker interessant. Diese greifen zwar typischerweise auf „Zero-Day“-Schwachstellen zurück, so Nohl, doch können sie sich aber auch auf bekannte Fehler konzentrieren, um effektive Exploit-Ketten zu entwickeln. Das Patchen dieser bekannten Fehler erhöht somit den Aufwand für sehr entschlossene Hacker.

[UPDATE 15.4.]
Wie ZDNet.de vom Maintainer er LineageOS-Version für das Nexus 5 erfahren hat, planen die Entwickler die fehlenden Patches in die Custom ROM zu integrieren.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de