• Anzeige



  • Sicherheits-Patch: Ein Etikettenschwindel?







    Hallo Community!

    Android und Sicherheit. Wirft man diese beiden Begriffe der Community vor die Füße, ist lauter Aufschrei vorprogrammiert. Dennoch werden auch die vehementesten Kritiker des Betriebssystems zumindest bestätigen müssen, dass Android in den letzten Monaten und Jahren eine Reihe von Maßnahmen zur stärkeren Absicherung des Betriebssystems ergriffen hat. Dazu zählen u. a. auch die regelmäßigen Sicherheitspatches oder auch das Project Treble, das allerdings erst mit Oreo kommt.

    Höre ich hier den nächsten Aufschrei? Regelmäßige und pünktliche Sicherheitspatches? Das Problem lag und liegt hier ja auch nicht nur bei Android, in den meisten Fällen waren/sind die Smartphone-Hersteller dafür verantwortlich.

    Die deutsche Firma Security Research Labs (SRL) hat sich einmal die Sicherheits-Updates auf insgesamt über 1.200 Smartphones von rund einem Dutzend Anbieter (von Google über Samsung, Motorola bis zu ZTE und TCL) angeschaut und Erschreckendes dabei festgestellt: Nicht nur, dass viele Anbieter von Android-Smartphones ihren Benutzern keine Patches zur Verfügung stellen oder ihre Veröffentlichung um Monate verzögern. Manchmal belügen sie ihre Benutzer, in dem sie zwar einen aktuellen Stand vorgaukeln, aber heimlich Patches übersprungen haben. Damit wiegen Sie ihre Nutzer in einer Scheinsicherheit, was laut Karsten Nohl, Inhaber von SRL, schlimmer sei, als generell fehlende Patches (dies ist jedoch zumindest diskussionsbedürftig).

    Es gibt jedoch nicht nur zwischen den einzelnen Herstellern signifikante Unterschiede, auch zwischen unterschiedlichen Jahresversionen ein und desselben Gerätes kann es zu Abweichungen kommen. So ist auf dem Samsung J5 (2016) der Patch-Stand (inkl. fehlender Patches) korrekt angegeben, während beim J5 (2017) 12 Patches fehlten, davon zwei als "kritisch" für die Sicherheit des Telefons. Und das, obwohl dieses Smartphone, lt. Samsung, jeden Android-Patch im Jahr 2017 erhalten haben soll.

    SRL hat die Ergebnisse ihrer Untersuchungen in einer Tabelle zusammengefasst und die Lieferanten in vier Kategorien eingeteilt:


    Legende: Tabelle zeigt Durchschnitt der fehlenden Critical- und High-Severity-Patches. Samples - Few: 5 bis 9; Many: 10 bis 49; Lots: mehr als 50. Nicht alle Patch-Tests sind immer aussagekräftig - die tatsächliche Anzahl fehlender Patches kann höher sein. Nicht alle Patches sind in unseren Tests enthalten, so dass die tatsächliche Anzahl noch höher sein kann.


    In der Untersuchung wurde jedoch auch festgestellt, dass die in den Smartphones verbauten Chip-Sets ebenfalls einen Einfluss auf die Update-Versorgung der Smartphones haben. Während Smartphones mit Prozessoren von Samsung nur sehr wenige Patches heimlich übersprungen hatten, fehlten denen, die Chips der taiwanesischen Firma MediaTek verwendeten, im Durchschnitt satte 9,7 Patches. Da diese Chips vorrangig in günstigen Geräten verbaut sind und deren Hersteller generell eher zurückhaltend bei der Versorgung mit Patches sind, sowie öfters Fehler in den Chips des Telefons und nicht in seinem Betriebssystem auftreten, landet man laut Nohl „in einem weniger gepflegten Teil dieses Ökosystems (Android) ".



    Google, mit der Untersuchung konfrontiert, nimmt die Ergebnisse ernst und arbeitet gemeinsam mit SRL an einer Überprüfung. Gleichzeitig bringt Google jedoch auch einige Gegenargumente: Einerseits seien eine Reihe der getesteten Geräte nicht android-zertifiziert, andererseits würden in manchen Fällen Patches auf den Geräten fehlen, weil die Telefonanbieter darauf reagierten, indem sie einfach eine anfällige Funktion vom Telefon entfernten, anstatt sie zu patchen oder das Telefon diese Funktion gar nicht hätte. Entscheidend sei aber, dass moderne Android-Handys über Sicherheitsfunktionen verfügen würden, die es schwierig machen würden, sie zu hacken.

    Sicherheitsupdates wären eine von vielen Schichten, die zum Schutz von Android-Geräten und -Anwendern verwendet werden", so Scott Roberts, Android Product Security Lead, der auf den eingebauten Plattform-Schutz, wie z.B. Application Sandboxing sowie Sicherheitsdienste, wie z.B. Google Play Protect verwies. Aufgrund der Komplexität der Systeme reichten ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssten für einen erfolgreichen Hack mehrere Fehler miteinander verzahnt ausgenutzt werden.

    Dem stimmt auch Nohl zu. Das Hacken von Android-Handys durch Ausnutzung ihrer fehlenden Patches sei viel schwieriger als es klingen würde. Sogar Android-Handys, die nicht über solide Patches verfügen, profitierten immer noch von den generellen Android-Sicherheitsfeatures. Gleichzeitig verwies Nohl aber auf das Sicherheitsprinzip der "Defense in Depth". Jeder verpasste Patch wäre potenziell eine Schutzschicht weniger.

    Wie sieht es nun eigentlich mit unseren BlackDroiden aus? Wer die erste Tabelle gelesen hat, dort taucht TCL in der Kategorie „Verlierer“ auf. Gilt dies auch für die in Lizenz gefertigten KEYone und Motion. Dazu gibt es keine konkrete Aussage. Wer jedoch selbst einmal überprüfen möchte, wie sein individueller Sicherheitspatch-Status aussieht, dem sei die App SnoopSnitch von SRL empfohlen. Sie steht im Play Store zum Download bereit. Nach der Installation der App oben links auf das Pflaster-Symbol klicken und den Test starten. Das Ergebnis sieht bei mir folgendermaßen aus:



    Danach fehlen auf meinem BlackBerry zwei Patches aus Juni und September letzten Jahres und 53 Patches sind nicht schlüssig überprüfbar. Komisch nur, mein Smartphone ist erst im September produziert worden. Und die Patches aus 2018 fehlen vollständig. Das gilt es noch zu überprüfen.

    Gruß Paulelmar



    Quellen und Bildquellen: Security Research Labs, Wired


    Das Team der BlackBerryBase bedankt sich bei mehr als 3.000 BBM-Channel Abonnenten!

    Ursprünglich wurde dieser Artikel in diesem Thema veröffentlicht: Sicherheits-Patch: Ein Etikettenschwindel? - Erstellt von: paulelmar Original-Beitrag anzeigen
  • Anzeige

  • Smartmod

  • Neue Beiträge

    Chen

    Video ohne Ton

    Hab jetzt eine Camera installiert, ging auch nicht. In deren Einstellungen war "Camcorder" aktiviert, bin dann auf "Standard Audio Quelle"

    Chen Heute, 16:50 Gehe zum letzten Beitrag
    dodendorf reloaded

    Video ohne Ton

    Auf Crackberry gibt es einen Tread, wo der User eine alternative Kamera App installiert hat und hier in den Einstellungen die Lösung fand.

    dodendorf reloaded Heute, 16:36 Gehe zum letzten Beitrag
    paulelmar

    Video ohne Ton

    Mit anderer Kamera-App mal getestet?

    Gesendet von meinem KEYone Black Edition mit Tapatalk

    paulelmar Heute, 16:31 Gehe zum letzten Beitrag
    Chen

    Video ohne Ton

    Es ist alles korrekt eingestellt.


    Alles wird gut -ruts-

    Überlege nicht. Denke!

    Chen Heute, 16:28 Gehe zum letzten Beitrag
    paulelmar

    Video ohne Ton

    Mein KEYone nimmt Videos mit Tönen auf.

    Fragen:
    Hast du die Medienlautstärke eventuell auf 0?
    Hast du bei den Kamera-Video-Einstellungen

    paulelmar Heute, 16:08 Gehe zum letzten Beitrag
    tommel2

    BlackBerry PRIV Firmware-Update verfügbar

    @tutur, dieses Profil probiere ich auch mal. Auf die Idee das WLAN abzuschalten, bin ich bisher nicht gekommen. Bluetooth und NFC sind schon abgeschaltet...

    tommel2 Heute, 16:05 Gehe zum letzten Beitrag
    royalblack

    BlackBerry PRIV Firmware-Update verfügbar

    ähnlich wie bei mir ... nur mit Wlan

    royalblack Heute, 15:53 Gehe zum letzten Beitrag
    Chen

    Musik auf PP spielen wie?

    Mucke vom Internen Speicher auf die SD Karte : Einstellungen - Speicher - Interner Speicher - Erkunden - den gewünschten Ordner abtippen - auf SD Karte

    Chen Heute, 14:38 Gehe zum letzten Beitrag
    tutur

    BlackBerry PRIV Firmware-Update verfügbar

    Nee, natürlich nicht!
    Kein WLan, viel tippen, viel surfen, selten Telefonieren ...

    tutur Heute, 14:37 Gehe zum letzten Beitrag
    Sinthoras

    Musik auf PP spielen wie?

    Danke Achim, aber ich bin auch da noch "oldschool" und habe CDs und mp3 auf ner Externen.

    @ JensCarlo: und wie kommst Du an deine

    Sinthoras Heute, 14:33 Gehe zum letzten Beitrag
    Chen

    Musik auf PP spielen wie?

    In der BlackBerryWorld gibt es noch die App "Top Music" . Da kannst Du kostenfrei aktuelle Songs aus der ganzen Welt direkt auf Dein PassPort

    Chen Heute, 14:19 Gehe zum letzten Beitrag
    JensCarlo

    Musik auf PP spielen wie?

    Also ich habe meine Musik auf der SD-Karte. Wäre das für dich nicht auch eine Lösung?

    Ansonsten das Passport als Massespeicher verbinden.

    JensCarlo Heute, 14:15 Gehe zum letzten Beitrag
    Sinthoras

    Musik auf PP spielen wie?

    Servus Ihr alten Recken!

    Wie bringt Ihr Mukke aufs PP?
    Seit bei mir Link nimma funzt isses sehr mühsam:
    vie Blend aud des LAptop

    Sinthoras Heute, 14:03 Gehe zum letzten Beitrag
    Chen

    Video ohne Ton

    Hallo Nerd's.
    Folgendes Problem : KEYone nimmt Video's nur noch ohne Ton auf. Die Einstellungen sind, soweit ich das beurteilen kann, alle korrekt.

    Chen Heute, 13:47 Gehe zum letzten Beitrag
    JensCarlo

    Gerätespeicher voll

    @borke: Das mit Delta Chat ist korrekt, jedoch kann man die Version verifizieren und wird von den Entwicklern auf die Version zum Download verwiesen.

    JensCarlo Heute, 13:33 Gehe zum letzten Beitrag