Nicht nur Smartphonehersteller integrieren nicht alle von Google veröffentlichte Sicherheitspatches, sondern auch Custom-Rom-Entwickler vergessen einige Updates.
Nach einer Analyse des von SRLabs entwickelten Tools SnoopSnitch, das im Google Play kostenlos zur Verfügung steht, sind von fehlenden Sicherheitspatches nicht nur Smartphones bekannter Hersteller betroffen, sondern auch alternative Android-Versionen wie LineageOS.
Auf dem LG G3 mit aktuellem LineageOS 14.1 sind laut Systeminfo die Android-Sicherheitspatches vom 5. März 2018 integriert. Laut SnoopSnitch fehlen aber mindestens drei Patches. Es könnten aber noch mehr sein, denn in 13 Fällen liefert das Tool kein eindeutiges Ergebnis.
Auch beim Google Nexus 5 mit LineageOS 14.1 und installierten Sicherheitspatches vom 5. März 2018 ermittelt SnoopSnitch einen fehlenden Sicherheitspatch. Bei 13 Überprüfungen ist sich das Tool nicht sicher, ob die Patches integriert sind. Der Parameter „After claimed patch level“ gibt an, wie viele Sicherheitslücken nach dem aktuell im Telefon installierten Sicherheitspatch-Level beseitigt wurden. Beim Nexus 5 mit Patch-Level 5. Juni 2017 sind bis jetzt 47 neue Lücken hinzugekommen.
Während Smartphonehersteller wie Google und Samsung für einige Geräte drei Jahre lang mit Sicherheitsupdates versorgen, – bei Samsungs-Enterprise-Geräten sind es sogar bis zu viere Jahre -, geben sich andere Hersteller deutliche weniger Mühe. Das Sony Xperia Z3 Compact hat den letzten Sicherheitspatch im Mai 2016 erhalten. Dementsprechend liefert SnoopSnitch für das Z3 Compact 126 ungepatchte Sicherheitslücken auf. Bei 10 ist sich das Tool nicht sicher, ob sie korrekt gepatcht wurde.
Nun man mag einwenden, dass das Xperia Z3 Compact auch schon 2014erschienen ist und nach vier Jahren mit keinen Updates mehr zu rechnen ist. Allerdings gibt es auch andere Hersteller die ihre Telefone deutlich länger mit Updates versorgen. So hat beispielsweise das im selben Jahr erschienenen Samsung Galaxy S5 im letzten Monat noch eine Sicherheitsaktualisierung erhalten.
Gefahr durch fehlende Sicherheitspatches
Obwohl der Entwickler von SnoopSnitch und Gründer der Sicherheitsfirma Karsten Nohl auf die Bedeutung monatlicher Sicherheitspatches hinweist, sagt der Sicherheitsforscher aber auch, dass allein ein fehlender Patch bei weitem nicht ausreicht, um ein Android-Telefon aus der Ferne anzugreifen. Moderne Betriebssysteme verfügen über mehrere Sicherheitsbarrieren wie ASLR und Sandboxing, die in der Regel durchbrochen werden müssen, um ein Telefon aus der Ferne zu hacken. Aufgrund dieser Komplexität reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Bugs aneinander gekettet werden. Erst kürzlich hatte ein Sicherheitsforscher sechs verschiedene Apps nötig, die insgesamt 11 Schwachstellen ausnutzten, um Zugriff auf ein Galaxy S8 zu bekommen.
Laut Nohl haben auch Cyberkriminelle das erhöhte Sicherheitslevel von Android erkannt. Statt ein Android-Smartphone zu hacken, konzentrieren sie sich stattdessen auf Social-Engineering, um Anwender zur Installation von Schadsoftware zu verleiten und diesen dann übermäßige Berechtigungen zu erteilen. Tatsächlich wurden laut Nohl im letzten Jahr kaum kriminelle Hacking-Aktivitäten rund um Android beobachtet.
Somit sind die nicht gepatchte Sicherheitslücken lediglich für staatlich geförderte und andere hartnäckige Hacker interessant. Diese greifen zwar typischerweise auf „Zero-Day“-Schwachstellen zurück, so Nohl, doch können sie sich aber auch auf bekannte Fehler konzentrieren, um effektive Exploit-Ketten zu entwickeln. Das Patchen dieser bekannten Fehler erhöht somit den Aufwand für sehr entschlossene Hacker.
88796 akkus für Bose Soundlink Mini 2 Pack
63FK6 akkus für Dell XPS 18 1810 1820
404600 akkus für Bose SOUNDLINK I II III
L16D1P32 akkus für Lenovo Tablet Smart Phone
063404 akkus für BOSE SOUNDLINK Mini I serie
061384 061385 akkus für BOSE SOUNDLINK Mini serie
235W PW116 R224M H235P-00 Dell Optiplex 760 780 SFF netzteile Netzteile/Adapters