Rechtzeitige Sicherheitspatches und nahtlose iOS-Software-Updates sind einer der Hauptgründe für viele Android-Kunden, auf ein iPhone zu wechseln.
Eine neue Umfrage hat jedoch etwas potenziell Störendes entdeckt.
Wired zitierte heute das deutsche Sicherheitsunternehmen Security Research Lab, das herausgefunden hat, dass viele Android-Anbieter Kunden über wichtige Betriebssystem-Sicherheitspatches belügen, indem sie das Datum des Sicherheitsupdates auf dem Gerät ändern, ohne tatsächlich Patches zu installieren.
Es ist kein Geheimnis, dass Google lange darum gerungen hat, OEMs und Carrier dazu zu bringen, regelmäßig Sicherheitspatches für Android zu veröffentlichen.
Nach zweijähriger Analyse von Android-Updates hat das Unternehmen festgestellt, dass viele Android-OEMs ihren Benutzern keine Patches zur Verfügung stellen oder deren Veröffentlichung monatelang verzögern.
In einigen Fällen teilen Anbieter den Benutzern mit, dass die Firmware ihres Telefons vollständig auf dem neuesten Stand ist, obwohl sie heimlich Patches übersprungen haben. „Wir haben mehrere Anbieter gefunden, die keinen einzigen Patch installiert haben, sondern das Patch-Datum um mehrere Monate verschoben haben“, sagt Forscher Karsten Nohl.
"Das ist absichtliche Täuschung, und es ist nicht sehr verbreitet."
Android-Sicherheitspatches über Security Research Lab und Wired
Einige der fehlenden Patches können auf Handys mit Chips von MediaTek und Qualcomm zurückgeführt werden, wobei bei ersteren durchschnittlich 9,7 Patches und bei den letzteren 1,1 Patches fehlen. Wenn Fehler in diesen Chips und nicht in Android selbst gefunden werden, ist der Hersteller des Telefons darauf angewiesen, dass der Chiphersteller einen Patch anbietet.
"Die Lehre ist, dass man, wenn man sich für ein billigeres Gerät entscheidet, in einem weniger gut gewarteten Teil dieses Ökosystems landet", fügte Nohl hinzu.
Google antwortete, dass einige der von Security Research Lab analysierten Smartphones möglicherweise keine Android-zertifizierten Geräte waren, betonte jedoch, dass es mit den Forschern zusammenarbeitet, um ihre Ergebnisse weiter zu untersuchen.
Laut Scott Roberts, dem Sicherheitsvorsprung von Android:
Sicherheitsupdates sind eine von vielen Ebenen, die zum Schutz von Android-Geräten und -Benutzern verwendet werden. Ebenso wichtig sind integrierte Plattformschutzfunktionen wie Anwendungs-Sandboxing und Sicherheitsdienste wie Google Play Protect. Diese Sicherheitsebenen tragen zusammen mit der enormen Vielfalt des Android-Ökosystems zu den Forschern bei
Google behauptet, dass moderne, von Android zertifizierte Geräte Sicherheitsfunktionen enthalten, die es schwierig machen, sie zu hacken, selbst wenn sie nicht gepatchte Sicherheitslücken aufweisen.
Nach Angaben des Suchriesen fehlten in einigen Fällen möglicherweise Sicherheitspatches auf den Geräten, weil die Hersteller möglicherweise eine anfällige Funktion vom Telefon entfernt haben, anstatt sie zu patchen, oder das Telefon verfügte überhaupt nicht über diese Funktion.
Das Security Research Lab wird seine vollständigen Ergebnisse auf einer Veranstaltung in Amsterdam vorstellen.
