Zwei Sicherheitsforscher des Berliner Unternehmens Security Research Labs (SRL) haben im Rahmen eines zweijährigen Forschungsprojekts Firmware von mehr als 1200 Android-Smartphones analysiert. Dabei wollen sie in mehreren Fällen ein von ihnen als "patch gap" bezeichnetes Phänomen festgestellt haben: Viele Hersteller gäben nur vor, dass ihre Firmware in punkto Sicherheit auf dem neuesten Stand sei, sagten die Forscher gegenüber Wired.

Tatsächlich würden die Hersteller die von Google veröffentlichten Sicherheitshinweise und Patches – teils mehrfach – überspringen oder mehrere Monate hinausschieben. Ersteres geschehe in einigen Fällen vermutlich aus Versehen. In anderen werde bewusst manipuliert – bis hin zu angepassten Firmware-Aktualisierungsdaten und geänderten Versionsnummern, hinter denen sich in Wirklichkeit keinerlei Änderungen verbergen. Hinzu kommen noch jene Hersteller, die gar nicht erst so tun, als würden sie regelmäßig Updates veröffentlichen.

"Patch Gaps" nicht nur bei Billig-Smartphones

Die Forscher von SRL testeten nach eigenen Angaben Firmware-Versionen von mehr als einem Dutzend Herstellern. Neben klassischem Reverse Engineering führten sie vor allem binäre Vergleiche durch, um die Unterschiede zwischen den verschiedenen Patch-Leveln nachzuvollziehen und fehlende Patches mit Hilfe von Funktionssignaturen aufzuspüren.

(Bild: Security Research Labs / Wired)

Ihre Erkenntnisse stellen sie am Freitag auf der IT-Sicherheitskonferenz Hack in the Box im Detail vor; Wired veröffentlichte aber schon vorab zwei Tabellen mit der durchschnittlichen Zahl ausgelassener Patches in 2017 je Hersteller und Chipsätzen. Bei den Herstellern schnitten die chinesischen Hersteller TCL und ZTE mit vier oder mehr übersprungenen Patches am schlechtesten ab – aber auch Platzhirsche wie Motorola oder LG bekleckerten sich mit drei bis vier "Patch-Aussetzern" nicht gerade mit Ruhm.

Auch bei gut platzierten Herstellern wie Samsung gibt es zwischen überwiegend gut gepatchten Modellen und Chipsätzen mit einem oder weniger fehlenden Patches "Ausreißer" nach unten – so wie etwa das Galaxy J3 von 2016, dem laut SRL in 2017 ganze zwölf Patches fehlten, von denen Google zwei als kritisch eingestuft hatte. Dem Nutzer sei indes der Eindruck vermittelt worden, dass das Gerät bestens mit Sicherheitsupdates versorgt sei.

Oft stecken die Lücken nicht im Betriebssystem, sondern im Chipsatz – und dann sind die Smartphone-Hersteller auf die Gewissenhaftigkeit der Chip-Hersteller angewiesen. Somit sind billige, nach SRLs Erkenntnissen tendenziell schlechter gepatchte Chips oft mitverantwortlich für die höhere Sicherheitsanfälligkeit günstiger No-Name-Geräte.

Eine Sicherheitslücke macht noch keinen Exploit

In einer Stellungnahme gegenüber Wired hat Google darauf hingewiesen, dass nicht alle bei den Tests berücksichtigten Hersteller und Geräte vom Unternehmen zertifiziert seien. Zertifizierte Partner informiert es nach eigenen Angaben mindestens einen Monat vor den offiziellen Android Patchdays umfassend über aktuelle Sicherheitslücken, damit sie ausreichend Zeit haben, eigene Updates bereitzustellen.



Das Unternehmen erklärte außerdem, dass Hersteller verwundbare Features mitunter einfach entfernen, statt einen Patch zu schreiben – oder auf das Patchen verzichten, weil besagtes Feature von vornherein nicht zum Funktionsumfang des Geräts gehörte. Die Forscher von SRL schätzen die Zahl der Fälle, in denen das Patchen tatsächlich nicht notwendig sei, allerdings als "nicht signifikant" für ihre Analyseergebnisse ein.

In einem anderen Punkt stimmten sie laut Wired allerdings mit Google überein: Das Fehlen einzelner Patches ermögliche im Regelfall noch nicht keine wirksame Angriffe. Meist sei dazu eine komplexe "Exploit Chain" notwendig, was dazu führe, dass trivialere Angriffsstrategien – etwa mittels Malware-verseuchter Apps – letztlich erfolgversprechender seien.

(ovw)