... April-Sicherheitsupdate schließt zahlreiche Schwachstellen

Darunter finden sich auch einige mit kritisch bewertete Sicherheitslücken. Für die Pixel-Smartphones wird das Update bereits ausgeliefert.

Google hat die Bulletins für den April-Patchday seines Mobilbetriebssystems Android veröffentlicht. Wie immer unterteilt es die Sicherheitsupdates auf zwei Level. Der Patch-Level 1. April schließt insgesamt elf Sicherheitslücken, von denen zwei mit kritisch eingestuft sind. Letztere erlauben das Einschleusen und Ausführen von Schadcode. Betroffen sind die OS-Versionen 7.x Nougat, 8.x Oreo und 9 Pie. Weitere vier Lücken schließt der Patch-Level 5. April auf Systemebene, wovon eine als kritisch eingestuft ist. Zudem korrigiert das Update auch zahlreiche Schwachstellen in Qualcomm-Komponenten. Darunter finden sich sieben kritische Sicherheitslücken.

Das Update für Googles Pixel-3-Smartphones enthält außerdem einige Korrekturen. Sie betreffen die Sprachaktivierung des Google-Assistenten sowie WLAN-Verbindungen bei Aktivierung einer eSIM. Außerdem soll nun der Allways-On-Screen keine Fehler mehr aufweisen. Bei Pixel-Smartphones soll durch das Update die Bluetooth-Verbindung stabiler werden. Für die Pixel-Smartphones stehen die Updates als Stock-Image bereits zur Verfügung. Auch Over-The-Air (OTA) wird die Aktualisierung bereits augeliefert.

Updates anderer Hersteller
Neben Google veröffentlichen auch einige Smartphone-Hersteller wie Samsung monatliche Sicherheits-Bulletins, die Angaben über in ihren Geräten verwendeten Schwachstellen enthalten. Diesen Monat berichtet beispielsweise Samsung über insgesamt 15 Lücken, von denen mindestens zwei mit kritisch eingestuft wird. Samsung nennt aus Sicherheitsgründen keine Details zu weiteren Schwachstellen, wobei es sich vermutliche ebenfalls um kritische Sicherheitslücken handeln dürfte. Samsung beginnt mit der Auslieferung der Sicherheitspatches erfahrungsgemäß etwa zwei Wochen nach der Veröffentlichung der neuesten Android-Sicherheitsbulletins. Zudem beinhalten die monatlichen Updates der Smartphone-Herstellern wie Samsung nur den ersten Patch-Level. Sicherheitslücken, die Google im Patch-Level 5. April beschreibt, werden in der Regel einen Monat später geschlossen.

Samsung hat außerdem angekündigt, dass Galaxy S7 und S7 Edge nur noch alle drei Monate Sicherheitsupdates erhalten. Zuvor wurden die Geräte drei Jahre lang monatlich aktualisiert.


Sicherheit von Smartphones
Sicherheitspatches sind eine wichtige Kompenente, um Smartphones vor Angriffen Cyberkrimineller zu schützen. Weitere Sicherheits-Schichten wie ein Sandboxing von Anwendungen und Sicherheitsservices wie etwa Google Play Protect sind gleichermaßen wichtig, wie Google in einem Blog erläutert. Insgesamt hat sich das Sicherheitsniveau von Android-Smartphones in den letzten Jahren erheblich verbessert. Das bestätigt auch der deutsche Sicherheitsforscher Karsten Nohl in einem Interview mit Spiegel-Online: „Android als Technologie ist in den letzten Jahren sehr viel sicherer geworden, vermutlich sogar sicherer als Windows.“ Apple habe jedoch mit iOS den Vorteil, dass es Updates zentral verteilen kann. Bei Android hingegen, werde ein Patch von Google über den Chiphersteller an den Smartphone-Hersteller weitergeleitet. Damit diese Updates aber auch beim Nutzer ankommen, müssen sie noch über die Mobilfunkanbieter ausgerollt werden. Dabei können Updates natürlich schneller auf der Strecke bleiben.

Trotz fehlender Updates sei es für Angreifer inzwischen sehr schwierig, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt. Auch bedeutete ein fehlender Patch noch nicht, dass der Fehler auch ausgenutzt werden könne. Nohl erklärt daher, „Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken.“ Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen statt dessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“

Laut einer Untersuchung von Gartner liegt Android inzwischen in Sachen Sicherheit vor iOS. Dabei bietet Samsung Knox die meisten Vorteile. Von den von Gartner überprüften zwölf Funktionen im Bereich „Corporate Managed-Security“ erreicht Samsung Knox zu 100 Prozent die Bewertung „strong“, während unter iOS 11 nur bei 5 von 12 Parametern mit „strong“ bewertet werden. Bei den von Gartner überprüften 16 Geräte-Sicherheitsfunktion erreicht Samsung Knox in dreizehn Fällen die Bewertung „strong“, während iOS 11 nur sieben Mal die Bestnote erhält. Auch generell holt Android laut Gartner gegenüber iOS auf.

Während Smartphones mit Android 7 und fünf „strong“-Bewertungen der iOS-Plattform noch unterlegen waren, erreichen Smartphones mit Android 8 11-mal die Bestnote und ziehen damit am iPhone vorbei. Daten zu Android 9 und iOS 12 hat Gartner noch nicht veröffentlicht.


Bericht im ZD-Net