Categories: Sicherheit

Android-Updates: Fehlende Sicherheitsupdates auch bei LineageOS [UPDATE]

Nach einer Analyse des von SRLabs entwickelten Tools SnoopSnitch, das im Google Play kostenlos zur Verfügung steht, sind von fehlenden Sicherheitspatches nicht nur Smartphones bekannter Hersteller betroffen, sondern auch alternative Android-Versionen wie LineageOS.

Auf dem LG G3 mit aktuellem LineageOS 14.1 sind laut Systeminfo die Android-Sicherheitspatches vom 5. März 2018 integriert. Laut SnoopSnitch fehlen aber mindestens drei Patches. Es könnten aber noch mehr sein, denn in 13 Fällen liefert das Tool kein eindeutiges Ergebnis.

Auch beim Google Nexus 5 mit LineageOS 14.1 und installierten Sicherheitspatches vom 5. März 2018 ermittelt SnoopSnitch einen fehlenden Sicherheitspatch. Bei 13 Überprüfungen ist sich das Tool nicht sicher, ob die Patches integriert sind. Der Parameter „After claimed patch level“ gibt an, wie viele Sicherheitslücken nach dem aktuell im Telefon installierten Sicherheitspatch-Level beseitigt wurden. Beim Nexus 5 mit Patch-Level 5. Juni 2017 sind bis jetzt 47 neue Lücken hinzugekommen.

Während Smartphonehersteller wie Google und Samsung für einige Geräte drei Jahre lang mit Sicherheitsupdates versorgen,  –  bei Samsungs-Enterprise-Geräten sind es sogar bis zu viere Jahre -, geben sich andere Hersteller deutliche weniger Mühe. Das Sony Xperia Z3 Compact hat den letzten Sicherheitspatch im Mai 2016 erhalten. Dementsprechend liefert SnoopSnitch für das Z3 Compact 126 ungepatchte Sicherheitslücken auf. Bei 10 ist sich das Tool nicht sicher, ob sie korrekt gepatcht wurde.

Nun man mag einwenden, dass das Xperia Z3 Compact auch schon 2014 erschienen ist und nach vier Jahren mit keinen Updates mehr zu rechnen ist. Allerdings gibt es auch andere Hersteller die ihre Telefone deutlich länger mit Updates versorgen. So hat beispielsweise das im selben Jahr erschienenen Samsung Galaxy S5 im letzten Monat noch eine Sicherheitsaktualisierung erhalten.

Gefahr durch fehlende Sicherheitspatches

Obwohl der Entwickler von SnoopSnitch und Gründer der Sicherheitsfirma Karsten Nohl auf die Bedeutung monatlicher Sicherheitspatches hinweist, sagt der Sicherheitsforscher aber auch, dass allein ein fehlender Patch bei weitem nicht ausreicht, um ein Android-Telefon aus der Ferne anzugreifen. Moderne Betriebssysteme verfügen über mehrere Sicherheitsbarrieren wie ASLR und Sandboxing, die in der Regel durchbrochen werden müssen, um ein Telefon aus der Ferne zu hacken. Aufgrund dieser Komplexität reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Bugs aneinander gekettet werden. Erst kürzlich hatte ein Sicherheitsforscher sechs verschiedene Apps nötig, die insgesamt 11 Schwachstellen ausnutzten, um Zugriff auf ein Galaxy S8 zu bekommen.

Laut Nohl haben auch Cyberkriminelle das erhöhte Sicherheitslevel von Android erkannt. Statt ein Android-Smartphone zu hacken, konzentrieren sie sich stattdessen auf Social-Engineering, um Anwender zur Installation von Schadsoftware zu verleiten und diesen dann übermäßige Berechtigungen zu erteilen. Tatsächlich wurden laut Nohl im letzten Jahr kaum kriminelle Hacking-Aktivitäten rund um Android beobachtet.

Somit sind die nicht gepatchte Sicherheitslücken lediglich für staatlich geförderte und andere hartnäckige Hacker interessant. Diese greifen zwar typischerweise auf „Zero-Day“-Schwachstellen zurück, so Nohl, doch können sie sich aber auch auf bekannte Fehler konzentrieren, um effektive Exploit-Ketten zu entwickeln. Das Patchen dieser bekannten Fehler erhöht somit den Aufwand für sehr entschlossene Hacker.

[UPDATE 15.4.]
Wie ZDNet.de vom Maintainer er LineageOS-Version für das Nexus 5 erfahren hat, planen die Entwickler die fehlenden Patches in die Custom ROM zu integrieren.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

13 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

13 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

14 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

14 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

16 Stunden ago