17. April 2018, 15:20 Uhr | Lesezeit: 3 Minuten

Regelmäßige Sicherheitsupdates sind bei Android-Geräten Pflicht. Umso ärgerlicher, dass viele Hersteller Kunden offenbar bewusst hinters Licht führen, wie Sicherheitsexperten nun herausgefunden haben.

Manche Hersteller behaupten, ihre Geräte seien auf dem neuesten Stand und hätten alle Sicherheitsupdates bekommen. In Wirklichkeit fehlen aber einige – was die Geräte anfällig für Hacker macht. „Wir haben bei einigen Herstellern eine Lücke zwischen den Patch-Versprechen und den tatsächlich ausgelieferten Patches gefunden. Bei einigen Geräten ist diese Lücke klein, bei anderen groß“, so Nohl gegenüber „Wired“.

Besonders dreist: Einige Hersteller würden im Smartphone einfach das Datum des letzten Updates ändern – ohne, dass sich tatsächlich etwas geändert hat. Der Nutzer kann das nicht wissen und glaubt, sein Gerät sei auf dem neuesten Stand. „Wir haben verschiedene Anbieter gefunden, die über Monate nur das Datum geändert haben, ohne einen einzigen Patch zu installieren“, so Nohl.

Diese Geräte sind betroffen

Security Research Labs testete 1200 Geräte, darunter auch welche von namenhaften Herstellern wie Samsung, LG oder Motorola. Speziell bei deren Mittelklasse- und Einsteiger-Geräten gab es hin und wieder Ungereimtheiten: Während Samsung etwa beim J5 (2016) ehrlich bei der Angabe der Patches war, gab es bei beim Samsung J3 (2016) Probleme. 12 Updates wurden hier ausgelassen, obwohl offiziell alle ausgespielt wurden. Bei den Top-Modellen der S- oder Note-Reihe gab es hingegen keine Vorfälle. Generell sind die fehlenden Patches bei großen Herstellern wie Samsung oder Sony eine Ausnahme, bei Google selbst kommen sie gar nicht vor.

Häufiger Betroffen sind Modelle von HTC, LG oder Motorola, am schlimmsten sei es bei den chinesischen Herstellern TCL und ZTE.

Ganz sicher ohne Tricks: Der TECHBOOK-Newsletter. Jetzt anmelden.

Bewusste Täuschung oder technische Fehler?

Doch ist es tatsächlich immer böse Absicht der Hersteller? Nicht unbedingt. Besonders bei den Herstellern, die nur in Ausnahmefällen betroffen sind, können durchaus technische Probleme der Grund für vereinzelt fehlerhafte Ausspielungen der Updates sein.

Auch die verbauten Prozessoren sind entscheidend: Smartphones mit Samsung-Chips etwa sind weitaus weniger betroffen als Geräte mit Prozessoren der Taiwanischen Firma Mediatek. Warum? Die Smartphone-Hersteller sind bei Patches auf die Prozessor-Lieferanten angewiesen. Liefern die Chip-Hersteller nicht, können auch die Anbieter der Geräte das Update nicht ausspielen. Die Recherchen der Security Research Labs zeigen, dass Geräte mit günstigeren Prozessoren – wie etwa in den Geräten von TCL und ZTE – deutlich häufiger betroffen sind. Eine plausible Erklärung – aber noch lange keine Ausrede dafür, die Nutzer mit falschen Angaben zu täuschen.

Was sagt Google dazu?

Google selbst begrüßte die Forschungsergebnisse und dankte Karsten Nohl und Jakob Lell für ihre Bemühungen, das Sicherheitssystem von Android zu verbessern. Der Suchmaschinen-Riese betonte noch einmal, dass Updates nur eines von verschiedenen Möglichkeiten seien, das Android-Gerät sicher zu machen. Fehlen ein paar Patches, hieße dies nicht, dass Hackern gleich alle Türen offen stehen.

Mehr zum Thema

Android Device Security Database Datenbank soll verraten, wie sicher Ihr Android-Smartphone ist

Schnelle Updates und hohe Sicherheit Das müssen Sie über Android One wissen

Viele Geräte unsicher Chip-Sicherheitslücke macht fast jedes dritte Smartphone für Hacker angreifbar

Wie finde ich heraus, ob mein Handy schummelt?

Das Security Research Lab hat eine kostenlose App entwickelt, mit der Nutzer herausfinden, ob die versprochenen Patches tatsächlich installiert wurden. Sie heißt SnoopPitch und kann im Google PlayStore heruntergeladen werden.