März-Patchday: Android-Sicherheitspatch März für Pixel-Smartphones verfügbar

Google hat die Bulletins für den März-Patchday seines Mobilbetriebssystems Android veröffentlicht. Wie immer unterteilt es die Sicherheits-Updates auf zwei Level. Der Patch-Level 1. März schließt insgesamt 27 Sicherheitslücken, von denen drei mit kritisch eingestuft sind. Letztere erlauben das Einschleusen und Ausführen von Schadcode. Betroffen sind die OS-Versionen 7.x Nougat, 8.x Oreo und 9 Pie. Weiter 18 Lücken schließt der Patch-Level 5. März, wovon acht als kritisch eingestuft sind.

Darüber hinaus enthält das Update Korrekturen für Googles Pixel-3-Smartphones, für die die 68 MByte groe Aktualisierung bereits ausgeliefert wird. Sie sollen die Rekationsfähigkeit der Kamera, OTA-Updates sowie Storage- und Bluetooth-Performance verbessern. Außerdem soll die Wiedergabe von verschlüsselten Medientypen mit einige Video-Apps nun besser funktionieren.

Neben Google veröffentlichen auch einige Smartphone-Hersteller wie Samsung monatliche Sicherheits-Bulletins, die Angaben über in ihren Geräten verwendeten Schwachstellen enthalten. Diesen Monat berichtet beispielsweise Samsung über insgesamt 11 Lücken, von denen mindestens eine mit kritisch eingestuft wird. Samsung nennt aus Sicherheitsgründen keine Details zu weiteren Schwachstellen, wobei es sich vermutliche ebenfalls um kritische Sicherheitslücken handeln dürfte. Samsung beginnt mit der Auslieferung der Sicherheitspatches erfahrungsgemäß etwa zwei Wochen nach der Veröffentlichung der neuesten Android-Sicherheitsbulletins. Zudem beinhalten die monatlichen Updates der Smartphone-Herstellern wie Samsung nur den ersten Patch-Level. Sicherheitslücken, die Google im Patch-Level 5. März beschreibt, werden in der Regel einen Monat später geschlossen.

Sicherheitspatches sind eine wichtige Kompenente, um Smartphones vor Angriffen Cyberkrimineller zu schützen. Weitere Sicherheits-Schichten wie ein Sandboxing von Anwendungen und Sicherheitsservices wie etwa Google Play Protect sind gleichermaßen wichtig, wie Google in einem Blog erläutert. Insgesamt hat sich das Sicherheitsniveau von Android-Smartphones in den letzten Jahren erheblich verbessert. Das bestätigt auch der deutsche Sicherheitsforscher Karsten Nohl in einem Interview mit Spiegel-Online: „Android als Technologie ist in den letzten Jahren sehr viel sicherer geworden, vermutlich sogar sicherer als Windows.“ Apple habe jedoch mit iOS den Vorteil, dass es Updates zentral verteilen kann. Bei Android hingegen, werde ein Patch von Google über den Chiphersteller an den Smartphone-Hersteller weitergeleitet. Damit diese Updates aber auch beim Nutzer ankommen, müssen sie noch über die Mobilfunkanbieter ausgerollt werden. Dabei können Updates natürlich schneller auf der Strecke bleiben.

Trotz fehlender Updates sei es für Angreifer nach wie vor schwierig, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt. Auch bedeutete ein fehlender Patch noch nicht, dass der Fehler auch ausgenutzt werden könne. Nohl erklärt daher, „Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken.“ Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen statt dessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“

Laut einer Untersuchung von Gartner liegt Android inzwischen in Sachen Sicherheit vor iOS. Dabei bietet Samsung Knox die meisten Vorteile. Von den von Gartner überprüften zwölf Funktionen im Bereich „Corporate Managed-Security“ erreicht Samsung Knox zu 100 Prozent die Bewertung „strong“, während unter iOS 11 nur bei 5 von 12 Parametern mit „strong“ bewertet werden. Bei den von Gartner überprüften 16 Geräte-Sicherheitsfunktion erreicht Samsung Knox in dreizehn Fällen die Bewertung „strong“, während iOS 11 nur sieben Mal die Bestnote erhält. Auch generell holt Android laut Gartner gegenüber iOS auf. Während Smartphones mit Android 7 und fünf „strong“-Bewertungen der iOS-Plattform noch unterlegen waren, erreichen Smartphones mit Android 8 11-mal die Bestnote und ziehen damit am iPhone vorbei. Daten zu Android 9 und iOS 12 hat Gartner noch nicht veröffentlicht.