WIE SICHER IST ANDROID?
Beim Thema Sicherheit hat Android keinen guten Ruf. Das System hat weltweit einen Marktanteil von knapp 90 Prozent und läuft mittlerweile auf etwa 2,5 Milliarden Geräten. Google versucht mit unterschiedlichen Maßnahmen, die Sicherheit zu verbessern, ein wichtiger Baustein ist die Veröffentlichung monatlicher Sicherheitspatches, die frisch entdeckte Lücken schließen. Aber diese Patches liefern längst nicht alle Hersteller an ihre Geräte aus. Und sie sind mitunter nur vorgetäuscht, wie eine Studie von Security Research Labs (SRL) ergeben hat.
Nur einer patcht lückenlos
Das Berliner Unternehmen hat dafür nach eigenen Angaben die Firmware von etwa 1200 Smartphones von mehr als einem Dutzend Herstellern daraufhin analysiert, ob und in welchen Intervallen die im Jahr 2017 verteilten Google-Patches auf den Telefonen angekommen sind. Dabei schnitten die Google-Phones Pixel und Pixel 2 wenig überraschend am besten ab, hier waren alle Patches lückenlos eingepflegt. Bei allen anderen Herstellern gab es Lücken – bei den Modellen von Sony und Samsung fehlte im Durchschnitt ein Patch. Danach folgen Oneplus, Nokia und Xiaomi mit ein bis drei ausgelassenen Patches. Bei Smartphones von HTC, Huawei, LG und Motorola diagnostizierte SLR im Durchschnitt drei bis vier fehlende Patches. Das Schlusslicht bilden TCL und ZTE mit mehr als vier fehlenden Patches. Das Problem besteht laut Security Research Labs darin, dass ein übersprungenes Sicherheitspatch schon bedeuten kann, dass die damit zu stopfende Sicherheitslücke für immer offen bleibt, denn es besteht keine Garantie dafür, dass sie im Folgepatch behoben wird. Die Experten sind bei ihrer Untersuchung sogar auf Hersteller gestoßen, die einfach das Patch-Datum im System manuell ändern und so dem Nutzer einen aktuellen Sicherheitsstand vortäuschen, obwohl keine entsprechende Software installiert ist.
Sicherer als sein Ruf
Trotz dieses wenig schmeichelhaften Befundes haben die Sicherheitsforscher auch eine gute Nachricht und räumen mit dem Vorurteil auf auf, dass Android besonders anfällig für Angriffe ist. Das System habe mittlerweile einen Komplexitätsgrad erreicht und sei von Google so abgesichert, dass eine einzelne Lücke nicht ausreicht, um nennenswerten Schaden anzurichten beziehungsweise Daten abzugreifen. Und es stimmt ja: Der Nutzer muss jeder App explizit bestimmte Rechte gewähren, damit sie Zugriff auf sensible Smartphone-Funktionen bekommt – wer allzu sorglos damit umgeht, darf im Nachhinein nicht dem System die Schuld geben. Übrigens: Wer den Patch-Status seines Smartphones überprüfen möchte, kann das tun, SRL hat dazu die App „SnoopSnitch“im Play Store veröffentlicht. (as)