Categories: Sicherheit

Android-Updates: Fehlende Sicherheitsupdates auch bei LineageOS [UPDATE]

Nach einer Analyse des von SRLabs entwickelten Tools SnoopSnitch, das im Google Play kostenlos zur Verfügung steht, sind von fehlenden Sicherheitspatches nicht nur Smartphones bekannter Hersteller betroffen, sondern auch alternative Android-Versionen wie LineageOS.

Auf dem LG G3 mit aktuellem LineageOS 14.1 sind laut Systeminfo die Android-Sicherheitspatches vom 5. März 2018 integriert. Laut SnoopSnitch fehlen aber mindestens drei Patches. Es könnten aber noch mehr sein, denn in 13 Fällen liefert das Tool kein eindeutiges Ergebnis.

Auch beim Google Nexus 5 mit LineageOS 14.1 und installierten Sicherheitspatches vom 5. März 2018 ermittelt SnoopSnitch einen fehlenden Sicherheitspatch. Bei 13 Überprüfungen ist sich das Tool nicht sicher, ob die Patches integriert sind. Der Parameter „After claimed patch level“ gibt an, wie viele Sicherheitslücken nach dem aktuell im Telefon installierten Sicherheitspatch-Level beseitigt wurden. Beim Nexus 5 mit Patch-Level 5. Juni 2017 sind bis jetzt 47 neue Lücken hinzugekommen.

Während Smartphonehersteller wie Google und Samsung für einige Geräte drei Jahre lang mit Sicherheitsupdates versorgen,  –  bei Samsungs-Enterprise-Geräten sind es sogar bis zu viere Jahre -, geben sich andere Hersteller deutliche weniger Mühe. Das Sony Xperia Z3 Compact hat den letzten Sicherheitspatch im Mai 2016 erhalten. Dementsprechend liefert SnoopSnitch für das Z3 Compact 126 ungepatchte Sicherheitslücken auf. Bei 10 ist sich das Tool nicht sicher, ob sie korrekt gepatcht wurde.

Nun man mag einwenden, dass das Xperia Z3 Compact auch schon 2014 erschienen ist und nach vier Jahren mit keinen Updates mehr zu rechnen ist. Allerdings gibt es auch andere Hersteller die ihre Telefone deutlich länger mit Updates versorgen. So hat beispielsweise das im selben Jahr erschienenen Samsung Galaxy S5 im letzten Monat noch eine Sicherheitsaktualisierung erhalten.

Gefahr durch fehlende Sicherheitspatches

Obwohl der Entwickler von SnoopSnitch und Gründer der Sicherheitsfirma Karsten Nohl auf die Bedeutung monatlicher Sicherheitspatches hinweist, sagt der Sicherheitsforscher aber auch, dass allein ein fehlender Patch bei weitem nicht ausreicht, um ein Android-Telefon aus der Ferne anzugreifen. Moderne Betriebssysteme verfügen über mehrere Sicherheitsbarrieren wie ASLR und Sandboxing, die in der Regel durchbrochen werden müssen, um ein Telefon aus der Ferne zu hacken. Aufgrund dieser Komplexität reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Bugs aneinander gekettet werden. Erst kürzlich hatte ein Sicherheitsforscher sechs verschiedene Apps nötig, die insgesamt 11 Schwachstellen ausnutzten, um Zugriff auf ein Galaxy S8 zu bekommen.

Laut Nohl haben auch Cyberkriminelle das erhöhte Sicherheitslevel von Android erkannt. Statt ein Android-Smartphone zu hacken, konzentrieren sie sich stattdessen auf Social-Engineering, um Anwender zur Installation von Schadsoftware zu verleiten und diesen dann übermäßige Berechtigungen zu erteilen. Tatsächlich wurden laut Nohl im letzten Jahr kaum kriminelle Hacking-Aktivitäten rund um Android beobachtet.

Somit sind die nicht gepatchte Sicherheitslücken lediglich für staatlich geförderte und andere hartnäckige Hacker interessant. Diese greifen zwar typischerweise auf „Zero-Day“-Schwachstellen zurück, so Nohl, doch können sie sich aber auch auf bekannte Fehler konzentrieren, um effektive Exploit-Ketten zu entwickeln. Das Patchen dieser bekannten Fehler erhöht somit den Aufwand für sehr entschlossene Hacker.

[UPDATE 15.4.]
Wie ZDNet.de vom Maintainer er LineageOS-Version für das Nexus 5 erfahren hat, planen die Entwickler die fehlenden Patches in die Custom ROM zu integrieren.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago