"Ihr System ist auf dem neuesten Stand" heißt es in den Einstellungen vieler Android-Smartphones. Doch das heißt noch lange nicht, dass das System gut gesichert ist, haben nun Sicherheitsforscher der Berliner Firma Security Research Labs (SRL) herausgefunden: Viele Hersteller überspringen wichtige Patches für Sicherheitslücken, geben aber trotzdem an, dass alle Updates installiert worden seien. Für den Nutzer entsteht durch die falschen Herstellerangaben eine trügerische Sicherheit und Hacker haben es einfacher, in das System einzudringen.
Für ihre Analyse haben die Forscher Hunderte Android-Versionen verglichen. SRL-Chef Karten Nohl erklärt im Interview, wie Nutzer den tatsächlichen Patch-Stand ihres Smartphones herausfinden können und ob Androids Konkurrenz Apple sicherer ist.
SZ: Herr Nohl, auf welchem Stand ist Ihr Smartphone?
Auf meinem Samsung-Handy sind die Updates für Januar installiert. Das ist nicht optimal, aber persönlich bin ich damit noch zufrieden, weil ich von keiner kritischen Sicherheitslücke weiß, die in den vergangenen drei Monaten bekannt geworden ist. Das geht natürlich besser.
Gehört Samsung zu den Herstellern, die Patches gewissenhaft installieren, oder schlampt das Unternehmen bei den Updates?
Samsung hat sich in den vergangenen Monaten stark verbessert. Wie beispielsweise Sony verpasst das Unternehmen im Schnitt einen Patch pro Update. Lediglich Google selbst installiert auf seinen Pixel-Smartphones ausnahmslos alle Android-Updates. Bei Motorola, Nokia oder One Plus sind es schon ein bis zwei Patches, die fehlen. Besonders die günstigen Hersteller sind schlechter, wenn es um das Patchen geht. Auf den Smartphones der chinesischen Unternehmen ZTE und TCL fehlen beispielsweise durchschnittlich vier oder mehr Patches.
Besonders extrem war der Fall des in Deutschland eher unbekannten Herstellers Wiko. Der hat einfach nur das Update-Datum geändert, aber keine Patches installiert. Das ist schlicht Schwindel. Wiko hat es aber mittlerweile eingesehen und seine Update-Strategie geändert.
Können Nutzer herausfinden, auf welchem Stand ihre Updates wirklich sind oder müssen sie den teils falschen Herstellerangaben vertrauen?
Wir haben dafür die App "Snoop Snitch" entwickelt, die Nutzern zeigt, welche Patches installiert sind und welche noch fehlen. Aber auch wenn der Nutzer merkt, dass ein Patch fehlt, kann er ihn nicht einfach nachladen. Nur der Hersteller kann Patches vorbereiten und installieren. Der Nutzer muss also Samsung, Motorola oder HTC Druck machen.
Android-Chef Hiroshi Lockheimer spricht über Googles Pixel-Smartphone, das Verhältnis zu Apple und erklärt, warum ihn die langsamen Updates der Hersteller frustrieren.
Steckt hinter dem Verhalten Absicht oder sind es Fehler?
Manche Hersteller scheinen unter großem Druck zu stehen, die Patch-Zahlen monatlich nach oben zu schrauben. Wenn die Nutzer die neuesten Updates haben wollen, dann wird halt manchmal nur das Datum geändert. So hat bei einigen Herstellern - nicht bei allen - die Qualität gelitten. So kam es zu Fehlern. Selbst Hersteller wie Samsung hatten scheinbar Schwierigkeiten, alle Patches zu installieren. Aber Genau das wollen wir mit unserer Forschung einfordern. Es ist nicht gut genug, jeden Monat irgendwas zu machen. Hersteller müssen die Updates vollständig installieren.
Wie gravierend ist es für Android-Nutzer, wenn ein Hersteller einen Patch nicht installiert?
Auf Windows-Systemen kann ein einzelner fehlender Patch das Ende der Sicherheit bedeuten. Zum Glück ist es bei Android anders, denn das System ist so aufgebaut, dass mal etwas schieflaufen kann. Jede App ist vom Rest des Betriebssystems abgeschottet. Daher benötigen Angreifer mehrere Schwachstellen um das System zu infiltrieren: mindestens zwei, oft vier.
Ein einzelner vergessener Patch ist daher nicht kritisch. Aber mit jedem nicht installierten Patch steigt die Wahrscheinlichkeit, dass ein Angreifer, der es wirklich darauf anlegt, ein Smartphone hacken kann. Davon sind allerdings normale Nutzer eher nicht betroffen, für sie ist Android sicher genug, auch wenn einige Patches fehlen. Es geht eher um sensible Ziele wie Staatsfeinde, Journalisten oder Whistleblower.
Wo liegen die Gefahren für normale Nutzer denn dann?
Viel gefährlicher als fehlende Patches ist, wie die Nutzer mit der Technik umgehen. Wenn ich auf Zehntausenden Smartphones eine bösartige Software installieren will, dann kann ich entweder Schwachstellen untersuchen und versuchen, fehlende Patches zu finden, oder ich biete im Netz eine verseuchte Raubkopie einer kostenpflichtigen Android-App an und muss wahrscheinlich nur zehn Minuten warten, bis mein Virus tausendfach installiert wurde. Das passiert in erschreckendem Ausmaß.
Etwa 20 Millionen Android-Geräte infizieren sich jeden Monat, weil Nutzer Viren installieren. Sie vertrauen Apps aus fremden Quellen und ignorieren Sicherheitswarnungen. Die Nutzer sagen im Grunde "Ich will gehackt werden". Das hat nichts mit fehlenden Patches zu tun.
Wie können sich Nutzer gegen gefälschte Apps schützen?
Android-Nutzer sollten sich klarmachen: Jede installierte App ist ein potenzielles Risiko. Selbst wenn sie die App wieder deinstallieren, kann es längst zu spät sein. Zudem ist es wichtig, den Apps so wenig Rechte wie möglich einzuräumen. Böswillige Apps benötigen zweimal die Hilfe des Nutzers: Einmal bei der Installation und anschließend erneut, wenn die App Rechte fordert.
Wenn eine böswillige App etwa auf die gespeicherten Fotos zugreifen darf, dann könnte sie alle Fotos verschlüsseln und ein Lösegeld vom Nutzer verlangen, damit er sie wiederbekommt. Mit den Rechten sollten Nutzer sehr vorsichtig sein.
Helfen Antiviren-Apps für Android-Geräte?
Eher nicht, denn das Android-System ist dann doch so sicher, dass Antivirenprogramme die anderen Apps nicht analysieren können. Sie dringen selbst nicht durch. Außerdem tut Google verdammt viel: Alles, was fremde Antivirenscanner können, macht das Unternehmen ohnehin schon selber. In seinem Play Store werden die Apps gescannt. Google warnt auch vor bekannten böswilligen Programmen, die versuchen, den Play Store zu umgehen und so auf Geräte zu gelangen. Aber selbst Google ist nicht perfekt, denn der Bösewicht hat so viele Versuche, wie er will. Wenn von hundert problematischen Apps nur eine durchkommt, hat der Hacker sein Ziel erreicht.
Raten Sie besorgten Android-Nutzern zu einem iPhone von Apple?
Apple hat es in vielen Fällen einfacher. Das Unternehmen entwickelt das Betriebssystem iOS selber, das auf wenigen iPhones läuft. Alles kommt aus einer Hand, während das Android-System von Google, den einzelnen Geräte-Herstellern, Prozessor-Herstellern und oft auch Mobilfunkanbietern beeinflusst wird. Trotzdem besteht kein Grund zur Panik. Android ist relativ sicher, etwa verglichen mit Windows.
Es gibt viele andere Gründe, die für oder gegen ein Android-Smartphone oder ein iPhone sprechen. Da sollte Sicherheit nicht an erster Stelle stehen. In den meisten Fällen wird Android auch nicht gehackt. Die Android-Nutzer hacken sich selber, indem sie unsichere Apps installieren. Wer auf eine Betrugsmasche hereinfällt, der kann nicht das Betriebssystem in die Pflicht nehmen.
