Android: in 87 Prozent aller Geräte steckt mindestens eine kritische Sicherheitslücke

Die Forscher kritisieren in ihrer Studie, dass weder Verbraucher noch Behörden oder Unternehmen bei der Anschaffung von Android-Geräten wissen, welcher Hersteller die von Google entwickelten Sicherheitspatches in seine eigenen Android-Versionen integriert und ausliefert.

Einer Studie der britischen University of Cambridge zufolge steckt in 87 Prozent aller Android-Geräte weltweit mindestens eine von elf bekannten und als kritisch eingestuften Sicherheitslücken. Die Uni hat dafür mit der App Device Analyzer Daten von mehr als 20.000 Android-Smartphones und -Tablets ausgewertet.

Derzeit haben rund 87 Prozent aller Android-Geräte mindestens eine bekannte kritische Sicherheitslücke (Bild: University of Cambridge).

Derzeit haben rund 87 Prozent aller Android-Geräte mindestens eine bekannte kritische Sicherheitslücke (Bild: University of Cambridge).

Zu den untersuchten elf Anfälligkeiten, die in den vergangenen fünf Jahren bekannt wurden, gehört eine Lücke im Linux-Kernel, die der Sicherheitsforscher Pinkie Pie entdeckt hat. Seit Juni 2014 nutzt das vom bekannten Hacker George Hotz entwickelte Tool Towelroot die Schwachstelle, um Android-Smartphones zu rooten. Die Forscher haben aber auch den Fake ID genannten Bug berücksichtigt, der die App-Berechtigungen in Android unwirksam macht.

Aus der Studie geht auch hervor, dass der Anteil der Geräte, auf denen eine unsichere Android-Version läuft, schon seit April 2013 überwiegend die Marke von 80 Prozent überschreitet. Anfang 2013, Anfang 2014 und auch Anfang 2015 näherte er sich kurzzeitig sogar der 100-Prozent-Marke an.

Die Forscher kritisieren in ihrer Studie, dass weder Verbraucher noch Behörden oder Unternehmen bei der Anschaffung von Android-Geräten wissen, welcher Hersteller die von Google entwickelten Sicherheitspatches in seine eigenen Android-Versionen integriert und ausliefert. Nur der Hersteller wisse, ob ein Gerät derzeit sicher sei und Sicherheitsupdates erhalte, nicht aber der Kunde.

Ein bekanntes Problem, das sich auch in der Fragmentierung der Android-Versionen wiederspiegelt, sind fehlende Sicherheitsupdates für Android. So lief Android-Version 5.1 Google zufolge Anfang Oktober nur auf 7,9 Prozent aller Geräte. Den Forschern zufolge erhalten Android-Geräte nur 1,26 Sicherheitsupdates pro Jahr. In diese Untersuchung sind allerdings keine Geräte mit Custom ROMs eingeflossen. Wer beispielsweise ein Smartphone mit CyanogenMod nutzt, erhält in der Regel Sicherheitsupdates innerhalb weniger Tage.

„Die Sicherheitscommunity ist schön länger wegen der fehlenden Sicherheitsupdates für Android-Geräte besorgt“, sagte Andrew Rice, einer der Forscher der University of Cambridge. „Unsere Hoffnung ist, dass wir mit der zahlenmäßigen Darstellung des Problems den Leuten bei der Auswahl eines Telefons helfen können, was im Gegenzug ein Anreiz für die Hersteller und Netzbetreiber sein kann, Updates auszuliefern.“

Um die Häufigkeit von Sicherheitsupdates darzustellen, haben die Forscher einen FUM genannten Index entwickelt. „F“ steht dabei für die Anzahl von Geräten des Herstellers mit bekannten Sicherheitslücken, „U“ für den Anteil der Geräte mit der aktuellsten OS-Version und „M“ für die Zahl der Löcher, die ein Hersteller noch nicht gestopft hat. Auf einer Skala zwischen 0 und 10 erreichen Googles Nexus-Geräte demnach 5,2 Punkte, Produkte von LG 4,0 Punkte und Smartphones von Motorola 3,1 Punkte. Samsung liegt mit 2,7 Punkten auf dem vierten Platz, gefolgt von Sony, HTC und Asus.

Zuletzt hatten Forscher vermehrt kritische Sicherheitslücken in Android gefunden, darunter die sogenannte Stragefright-Lücke, die nahezu alle Android-Versionen betrifft. Google, Samsung und LG verpflichteten sich daraufhin, künftig einmal pro Monat Sicherheitsupdates auszuliefern. HTC stuft diese Zusage vor allem in Bezug auf Geräte, die Mobilfunkbetreiber mit einem Branding versehen und selber vertreiben, als unrealistisch ein. Sie entscheiden nämlich darüber, ob und wann die von Google bereitgestellten und von einem Hersteller in seine Software integrierten Fixes den Nutzern zur Verfügung gestellt werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Android: in 87 Prozent aller Geräte steckt mindestens eine kritische Sicherheitslücke

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *