Android Sicherheits-Patches gaukeln Nutzern häufig nur Aktualität vor

Ihr ärgert Euch darüber, dass der Hersteller Eures Android-Smartphones keine monatlichen Sicherheit-Updates liefert? Da seid Ihr nicht allein. Allerdings stellt sich nun offenbar heraus, dass auch diejenigen, die eigentlich auf aktuellem Stand sind, nicht zwingend geschützt sind. Hersteller bescheinigen ihren Smartphones nämlich auch einmal einen aktuellen Stand, ohne aber tatsächlich die Software auch mit einem Patch zu versehen.

Dabei gibt es große Unterschiede bei den Herstellern, allerdings sind es tatsächlich nur Google Pixel-Geräte, die keinen Patch verpassen. Selbst bei großen Herstellern wie Samsung kommt es vor, dass nicht alles gepatcht wird. Das wiederum kann verschiedene Ursachen haben, letztendlich ist es aber der Hersteller, der eine Patch-Ebene kennzeichnet, die er nicht einhält.

Aber in Panik verfallen müssen Nutzer deswegen nicht gleich. So sei es laut Security Research Labs nicht allzu wahrscheinlich, dass diese Nicht-Patches ausgenutzt würden. Schlicht aus dem Grund, dass Angreifer es auf anderen Wegen einfacher haben, zum Beispiel, indem sie Malware mit in eine normale App packen. Außerdem erfordere es normalerweise mehr als eine Lücke, um tatsächlich Zugang zu einem Gerät zu erhalten.

Schaut man nun einmal konkret auf die Hersteller, zeigt sich kein so gutes Bild. Bei den „Missed Patches“ befinden sich nur Google, Samsung, Sony und Wiko mit keinem oder einem Patch, der genannt, aber nicht geliefert wurde. Wiko erstaunt mich persönlich sehr, allerdings sind das wohl auch Geräte, die mit sehr wenigen Systemänderungen versehen sind.

1 – 3 Missed Patches haben Nokia, OnePlus und Xiaomi, 3 – 4 findet man bei den Herstellern HTC, Huawei, LG und Motorola. Mehr als vier nicht implementierte Patches gibt es bei Smartphones von TCL und ZTE. 1.200 Smartphones wurden über einen Zeitraum von zwei Jahren untersucht.

Einen Zusammenhang zwischen den Missed Patches und den verwendeten Chips in den Geräten sehen die Sicherheitsforscher ebenfalls. Samsung schneidet hier am besten ab, am schlechtesten ist Mediatek. Allerdings muss man hier auch klar sehen, in welchen Geräten die jeweiligen Chips zum Einsatz kommen. Ein Mullumullu-Smartphone mit Mediatek-SoC aus der Ramschkiste – da kann so ein Update auch einmal unvollständig sein.

Google hat sich gegenüber Wired auch schon zum Thema geäußert. Erklärt wird, dass das Verpassen der Patches auch daraus resultieren kann, dass ein Hersteller eine mit einer Lücke behaftete Funktion entfernt anstatt patcht. Auch müsse es sich nicht um Android-zertifizierte Geräte handeln. Man werde bei Google die Ergebnisse aber auf jeden Fall genauer untersuchen und bei Bedarf dann eben auch entsprechend die Hersteller auffordern, dies besser zu machen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Wie sieht es mit bq aus? Die sind neben Pixel Geräten meiner Meinung nach das Beste, was der Markt bietet.

    • Master of Desaster Jr. says:

      Dem muss ich an dieser stelle mal ganz schnell wiedersprechen.

      Ich besitze mehrere Geräte aus dem Hause bq und kann nur sagen das sie schon lange nicht mehr zum oberen Bereich dieser Listen zählen.

      Angefangen hat das damals mit dem bq E10, dort wurde ein Update auf Android 5.0 oder 5.1 angekündigt aber niemals fertiggestellt. Zugegeben hierfür kann bq nichts da Mediathek hier als Chiplieferand versagt hat.

      Weiter ging es mit dem M5 dem damaligen Schlachtschiff und vorzeige Gerät, dies hat in den ersten Monaten auch noch gut Updates erhalten dann aber über die Zeit wurde der Support immer schlechter und sie hielten in vielen fällen ihre eigenden verschprechen nicht. So kam das Update auf Android N zwar aber das mit sageundschreibe 1,5 Jahren verspätung!!!
      Sicherheitspatches werden auch schon seit langem nichtmehr geleistet.

      Ebenso sieht das beim M5.5, dem großen Bruder des M5 aus. Dort gibt es ebenso keine Sicherheits paches und versproche Updates werden mit nochmehr verspätung ausgeliefert. UND SIND DAZU NOCH FEHLERHAFT!!! Trotz ca 6Monaten Betaphase.

      Sowohl beim M5 und auch M5.5 sind bq in Software und Update Fragen schweres Versagen nachzuweisen.

      Abgesehen davon ist der Support eher am unteren Ende der Skala und Hardware Probleme runden das Gesamtpacket ab.

      Alles in allem kann ich nur von einem Kauf abraten. Zusätzlich dazu steigen mitlerweile auch bei bq die Preise in einen Bereich der nicht mehr angemessen ist.

      Fehlende Inovationen und Leistungen lasse ich hier jetzt mal unerwähnt.

      Ich empfele jedem weiter zu suchen und sein Geld sinnvoller zu investieren.

      (Beim Thema Updates kann man am Ende eh nur auf Customroms vertrauen, den ich kenne keinen Hersteller der so effektiv und schnell diese Aufgaben erledigen will und kann.)
      Und damit ein riesen Dank an die ganzen Freiwilligen Entwickler dadraußen die unbezahlt und freiwillig das machen wozu Hersteller im Allgemeinen nicht in der Lage sind.

      MFG

  2. Wieso sollen die Hersteller die Patches implementieren, wenn es in einem Teil des Codes ist, welcher nicht von der eigenen Anpassung verwendet wird?

  3. Ich vermute, ich kann mit meinem Xiaomi A1 (Android One) erst mal beruhigt weiter schlafen.
    Hätte ich nicht schon das Xiaomi, wäre sicher auch Nokia (mit Android One) für mich interessant geworden.

  4. Im worst-case schreibt der Hersteller einfach das aktuelle Monat in die Textbox der Sicherheitspatch-Ebene und macht garnichts.
    Es müsste durch einen Button ersetzt werden, welcher bei Googles Servern einen Check anstoßt wie bei der Snoopstitch CheckApp:
    https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch&hl=en

    OP3T hat eines weggelassen, sonst alle drauf bis 01/2018

  5. Master of Desaster Jr. says:

    Dem muss ich an dieser stelle mal ganz schnell wiedersprechen.

    Ich besitze mehrere Geräte aus dem Hause bq und kann nur sagen das sie schon lange nicht mehr zum oberen Bereich dieser Listen zählen.

    Angefangen hat das damals mit dem bq E10, dort wurde ein Update auf Android 5.0 oder 5.1 angekündigt aber niemals fertiggestellt. Zugegeben hierfür kann bq nichts da Mediathek hier als Chiplieferand versagt hat.

    Weiter ging es mit dem M5 dem damaligen Schlachtschiff und vorzeige Gerät, dies hat in den ersten Monaten auch noch gut Updates erhalten dann aber über die Zeit wurde der Support immer schlechter und sie hielten in vielen fällen ihre eigenden verschprechen nicht. So kam das Update auf Android N zwar aber das mit sageundschreibe 1,5 Jahren verspätung!!!
    Sicherheitspatches werden auch schon seit langem nichtmehr geleistet.

    Ebenso sieht das beim M5.5, dem großen Bruder des M5 aus. Dort gibt es ebenso keine Sicherheits paches und versproche Updates werden mit nochmehr verspätung ausgeliefert. UND SIND DAZU NOCH FEHLERHAFT!!! Trotz ca 6Monaten Betaphase.

    Sowohl beim M5 und auch M5.5 sind bq in Software und Update Fragen schweres Versagen nachzuweisen.

    Abgesehen davon ist der Support eher am unteren Ende der Skala und Hardware Probleme runden das Gesamtpacket ab.

    Alles in allem kann ich nur von einem Kauf abraten. Zusätzlich dazu steigen mitlerweile auch bei bq die Preise in einen Bereich der nicht mehr angemessen ist.

    Fehlende Inovationen und Leistungen lasse ich hier jetzt mal unerwähnt.

    Ich empfele jedem weiter zu suchen und sein Geld sinnvoller zu investieren.

    (Beim Thema Updates kann man am Ende eh nur auf Customroms vertrauen, den ich kenne keinen Hersteller der so effektiv und schnell diese Aufgaben erledigen will und kann.)
    Und damit ein riesen Dank an die ganzen Freiwilligen Entwickler dadraußen die unbezahlt und freiwillig das machen wozu Hersteller im Allgemeinen nicht in der Lage sind.

    MFG

  6. Wolfgang D. says:

    Was meine schon öfter getätigte Aussage bestätigt, dass nicht jede von interessierten Kreisen gehypte mögliche Lücke uns Nutzer betrifft. Beschiss ist es dennoch.

    Google mogelt sich mit seinen nie eingelösten Updateversprechen jetzt noch zwei Jahre weiter, und verkauft uns dann den nächsten heissen Mist. Diesmal aber ganz krass sicher, akkuschonend, mit garantierten Updates. Ich schwör, voll!

  7. Meinereiner says:

    Ich vermisse Quellenangaben, woher die Angaben zu den „Missed Patches“ kommen. Auf SRL sieht es nämlich etwas anders aus: https://srlabs.de/bites/android_patch_gap/

    Da gehört BQ zur Gruppe 0-1 und Wiko zu 1-2
    Ihr habt vier Gruppen, SR Resarch jedoch 5.

    Wer nur die Grafik sehen möchte: https://srlabs.de/wp-content/uploads/2018/04/missed_patches_by_vendor-1.png

    Auch bei den Chipsätzen wäre eine Quellenangabe angenehm, wobei ich das mit MTK-Chipsätzen durchaus glauben mag…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.