Google bringt jeden Monat ein neues Sicherheits-Updates für Android Phones auf den Markt. Google Geräte erhalten den Sicherheitspatch meist schon nach kurzer Zeit, wohingegen Besitzer anderer Smartphones oft lange auf die Auslieferung warten müssen, beziehungsweise Updates nur sporadisch bekommen. Nun hat jedoch die deutsche Sicherheitsfirma Security Research Labs herausgefunden, dass einige Hardware-Hersteller nur ein Update vortäuschen, dabei jedoch nichts patchen.
Es wird berichtet, dass es einige Smartphone-Hersteller sowie die Chip-Industrie nicht sehr genau mit den Patches nehmen, welche von Google herausgegeben werden, um diverse Sicherheitslücken zu schließen. Mitarbeiter von Security Research Labs fanden heraus, dass einige Originalgerätehersteller das Update und die Behebung der Schwachstellen nur vortäuschen.
Das Sicherheitslabor hat einige Hersteller von Android-Geräten gefunden, welche den Security Patch so anzeigen, dass der Nutzer glaubt, der Patch wurde installiert. Jedoch wird dabei einfach nur das in den Einstellungen angezeigte Datum übernommen, ohne das tatsächlich ein Patch installiert wurde.
Müssen einige Nutzer sowieso schon sehr lange auf ein Sicherheits-Update warten, können sie sich jetzt noch nicht einmal sicher sein, ein wirkliches Update zu erhalten.
Die Untersuchung von Security Research Lab bezieht sich dabei auf Security-Updates seit Oktober 2017.
Nicht veröffentlichte Patches:
- 0-1 Google, Sony, Samsung, Wiko
- 1-3 Xiaomi, OnePlus, Nokia
- 3-4 HTC, Huawei, LG, Motorola
- 4+ TCL und ZTE
Für Geräte mit MediaTek Chips fehlen häufig die benötigten Sicherheitspatches, da diese von MediaTek einfach nicht zur Verfügung gestellt werden. Bei Samsung, Qualcomm und HiSilicon sieht es etwas besser aus und es wurde eher gepatcht.
Als Reaktion auf die Untersuchungen von Security Research Lab will Google zu jedem Gerät mit einer festgestellten Patch-Lücke eine eigene Untersuchung einleiten. Google erklärte jedoch auch, dass das nicht Bereitstellen eines Patches durch die Hersteller daraus resultieren kann, dass die mit einer Lücke behaftete Funktion entfernt wurde und damit nicht mehr gepatcht werden muss.
Für den Nutzer ist es fast unmöglich herauszufinden, ob sein Smartphone alle Sicherheits-Updates installiert hat. Security Research Lab hat darum die App SnoopSnitch in den Play Store gebracht, mit der der Nutzer sein Smartphone auf den tatsächlichen Status des Sicherheits-Updates überprüfen kann.
Dazu wird nach dem Öffnen der App einfach auf den Button “Click here to test patch level” geklickt, danach auf den Button “Start Test”. Die App zeigt danach den Security Patch Level an sowie ob der Test komplett durchgeführt werden konnte.
