Britische Wissenschaftler haben bewiesen, dass die Daten auf Android-Geräten sowie deren Nutzer äußerst gefährdet sind. Kein Witz: Forscher der University of Cambridge haben die Geräte genau untersucht und über 20.000 Smartphones verschiedener Hersteller getestet. Dabei entdeckten sie, dass 87,7 Prozent der Android-Geräte mit mindestens einer kritischen Sicherheitslücke befallen sind.
Dieses schlechte Ergebnis war eigentlich nur ein Nebenprodukt der Studie, deren Ziel es war, die Geräte (und Hersteller) zu finden, die am sichersten sind.
Die Untersuchung wurde mithilfe normaler Anwender und deren normalen Smartphones gemacht: Die Teilnehmer installierten eine spezielle App namens Device Analyzer von Google Play. Diese App fand heraus, wie widerstandsfähig die Geräte gegen die am weitesten verbreiteten Angriffe waren, indem sie die Versionsdaten der Software auf den Geräten an die Forscher schickte.
Nicht alle Sicherheitslücken wurden dabei in Betracht gezogen, sondern nur jene, die komplett drahtlos ausgenutzt werden können. Von diesen sind 32 kritisch, aber nur 11 davon, die bei allen teilnehmenden Geräten ausgenutzt werden konnten, wurden in die Studie aufgenommen, um ein faires Ergebnis zu bekommen.
Doch warum bieten unterschiedliche Hersteller unterschiedliche Sicherheit? Zum einen hängt das davon ab, ob das installierte Betriebssystem aktuell ist; Google, die Linux Foundation und andere relevante Android-Entwickler veröffentlichen regelmäßig Updates mit Sicherheits-Patches für bekannte Sicherheitslücken.
Das Problem ist, dass die Mehrheit der Android-Geräte in der Schlange steht, um diese Updates zu bekommen, so dass das Ganze nicht so schnell passiert, wie es sein sollte. Denn Google versendet die Updates nicht selbst, sondern der Netzbetreiber beziehungsweise Handy-Hersteller übernimmt diese Aufgabe und die Updates weden so schnell ausgeliefert, wie es diese Firmen gerade möchten. Und das bedeutet meist „überhaupt nicht eilig“…
1 Billion #Android devices vulnerable to #NEW Stagefright flaws… #nopatches https://t.co/1Wt8iqOY2b via @threatpost pic.twitter.com/LJUuODPDra
— Kaspersky (@kaspersky) October 1, 2015
Und da viele Hersteller den Kunden nur einen zwei Jahre gültigen Support bieten, erhalten viele Geräte nach dieser Zeit (oder sogar schon während dieser Zeit) keine Updates mehr. Das bedeutet, dass es eine Menge Smartphones gibt, die ein veraltetes (und daher für immer ungepatchtes) Android nutzen, und je nach Hersteller ist die Zahl dieser Geräte unterschiedlich.
Um das Sicherheitsniveau der verschiedenen Android-Anbieter zu bewerten, führte die Forschergruppe aus Cambridge den FUM-Index ein. Diese Abkürzung steht für:
- F (Free) — alle Geräte, ohne kritische Sicherheitslücken im Test
- U (Update) — alle Geräte eines bestimmten Herstellers, die die aktuellste Android-Version nutzen
- M (Mean) — durchschnittliche Anzahl der ungepatchten Sicherheislücken in den Geräten eines bestimmten Herstellers
Der normalisierte Gesamtwert dieser Werte ergibt den FUM-Index, der von 1 bis 10 gehen kann. Mit ihm kann die Sicherheitswertung eines Herstellers bewertet werden.
95% of #Android phones can be hacked with one just #MMS, millions at risk https://t.co/BJg5e7ss8N #infosec pic.twitter.com/DGBSkhQdDo
— Kaspersky (@kaspersky) August 4, 2015
In den vier Jahren – vom Juli 2011 bis 2015 – war der FUM-Index für alle Android-Geräte entsetzlich niedrig: 2,87 von 10. Die sichersten Smartphones sind (und das war vorherzusehen) die Google-Nexus-Geräte. Kein Wunder: Google kümmert sich natürlich um das Patching seiner eigenen Geräte.
Bei Nexus-Geräten lag der FUM-Index bei 5,17 – immer noch weit von 10 entfernt. Leider kommen die Updates auch nicht sofort auf Nexus-Geräte: Das Ausliefern der Updates dauert bis zu zwei Wochen, in denen die Geräte unsicher sind.
Man muss aber fairerweise auch noch andere Smartphone-Hersteller erwähnen, die ebenfalls nicht viel schlechter sind: LG (FUM 3,97), gefolgt von Motorola (3,07), Samsung (2,75), Sony (2,63), HTC (2,63) und ASUS (2,35).
Die unsichersten Geräte stammen von kleinen Herstellern und No-Name-Marken wie Symphony (0,30) und Walton (0,27). Man kann auch davon ausgehen, dass die meisten chinesischen No-Name-Geräte ebenfalls einen ähnlich niedrigen FUM-Wert haben.
Of Non-Nexus Devices and the #Android #Security Rewards Program: http://t.co/owKwqqFmDJ via @threatpost
— Kaspersky (@kaspersky) June 18, 2015
Ein bisschen seltsam an der Studie ist das Ignorieren von Huawei-, Lenovo- und Xiaomi-Smartphones, obwohl diese Marken laut IDC-Analyse auf den Positionen zwei, drei und vier der globalen Beststellerliste von Smartphones stehen. Damit und mit anderen kleinen Fragezeichen kann die Studie nicht als komplett fair und endgültig angesehen werden, was aber ihre Wichtigkeit nicht schmälert. Die Forscher haben es geschafft, ein umfassendes (und daher sehr trostloses) Bild der Sicherheit zu malen und auf allgemeine Probleme der IT-Sicherheit hinzuweisen.
Wir sollten uns klar sein, dass Android ein überaus angreifbares System ist. Und das wird auch so bleiben, solange Google das Betriebssystem nicht überarbeitet und das Vertreibsmodell ändert, so dass gleichzeitige, regelmäßige und händlerunabhängige Update-Mechanismen den Anwendern die nervige Aufgabe ersparen, selbst für die Sicherheit ihrer Geräte zu sorgen.
Protect your #Android: 10 tips for maximum security https://t.co/PDu801dfyg pic.twitter.com/auqQf6NfVL
— Eugene Kaspersky (@e_kaspersky) November 8, 2014
Aber was können die Anwender derzeit machen, um ihre Geräte zu schützen? Hier ein paar einfache Tipps:
- Installieren Sie Updates, sobald sie erhältlich sind und ignorieren Sie diese nicht.
- Laden Sie Apps nur von vertrauenswürdigen Quellen herunter und seien Sie auf der Hut vor gefälschten Webseiten. Das garantiert zwar nicht die absolute Sicherheit vor Problemen, ist aber ein wichtiger Schritt zur Vermeidung bestimmter Bedrohungen.
- Verwenden Sie eine Sicherheitslösung – auch wenn die Smartphone-Hersteller bei der Auslieferung von Sicherheits-Patches langsam sind und die Kunden dadurch Exploits fürchten müssen, so helfen Antivirus-Hersteller hier, das Gerät dennoch zu schützen.
- Informieren Sie sich: Lesen Sie Sicherheitsnachrichten, denn ansonsten würden Sie nie wissen, dass es zum Beispiel besser ist, den Standard-Download von MMS-Nachrichten auszuschalten, um Probleme mit der Stagefright-Sicherheitslücke zu umgehen.