«Android-Nutzer hacken sich selber»

IT-Experte Karsten Nohl erklärt die neu entdeckte Sicherheitslücke und sagt, wie sich Android-Nutzer schützen können.

Viele Android-Hersteller überspringen wichtige Patches für Sicherheitslücken. Foto: Britta Pedersen (Keystone)

Viele Android-Hersteller überspringen wichtige Patches für Sicherheitslücken. Foto: Britta Pedersen (Keystone)

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

«Ihr System ist auf dem neuesten Stand» heisst es in den Einstellungen vieler Android-Smartphones. Doch das heisst noch lange nicht, dass das System gut gesichert ist, haben nun Sicherheitsforscher der Berliner Firma Security Research Labs (SRL) herausgefunden: Viele Hersteller überspringen wichtige Patches für Sicherheitslücken, geben aber trotzdem an, dass alle Updates installiert worden seien. Für den Nutzer entsteht durch die falschen Herstellerangaben eine trügerische Sicherheit und Hacker haben es einfacher, in das System einzudringen.

Für ihre Analyse haben die Forscher Hunderte Android-Versionen verglichen. SRL-Chef Karten Nohl erklärt im Interview, wie Nutzer den tatsächlichen Patch-Stand ihres Smartphones herausfinden können und ob Androids Konkurrenz Apple sicherer ist.

Herr Nohl, auf welchem Stand ist Ihr Smartphone?
Auf meinem Samsung-Handy sind die Updates für Januar installiert. Das ist nicht optimal, aber persönlich bin ich damit noch zufrieden, weil ich von keiner kritischen Sicherheitslücke weiss, die in den vergangenen drei Monaten bekannt geworden ist. Das geht natürlich besser.

Gehört Samsung zu den Herstellern, die Patches gewissenhaft installieren, oder schlampt das Unternehmen bei den Updates?
Samsung hat sich in den vergangenen Monaten stark verbessert. Wie beispielsweise Sony verpasst das Unternehmen im Schnitt einen Patch pro Update. Lediglich Google selbst installiert auf seinen Pixel-Smartphones ausnahmslos alle Android-Updates. Bei Motorola, Nokia oder One Plus sind es schon ein bis zwei Patches, die fehlen. Besonders die günstigen Hersteller sind schlechter, wenn es um das Patchen geht. Auf den Smartphones der chinesischen Unternehmen ZTE und TCL fehlen beispielsweise durchschnittlich vier oder mehr Patches. Besonders extrem war der Fall des in Deutschland eher unbekannten Herstellers Wiko. Der hat einfach nur das Update-Datum geändert, aber keine Patches installiert. Das ist schlicht Schwindel. Wiko hat es aber mittlerweile eingesehen und seine Update-Strategie geändert.


Video – Schutz vor Sicherheitslücken bei Android etc.

Digitalredaktor Matthias Schüssler über Sicherheitsmassnahmen für Smartphone-User. Video: Tamedia


Können Nutzer herausfinden, auf welchem Stand ihre Updates wirklich sind oder müssen sie den teils falschen Herstellerangaben vertrauen?
Wir haben dafür die App «Snoop Snitch» entwickelt, die Nutzern zeigt, welche Patches installiert sind und welche noch fehlen. Aber auch wenn der Nutzer merkt, dass ein Patch fehlt, kann er ihn nicht einfach nachladen. Nur der Hersteller kann Patches vorbereiten und installieren. Der Nutzer muss also Samsung, Motorola oder HTC Druck machen.

«Auf Windows-Systemen kann ein einzelner fehlender Patch das Ende der Sicherheit bedeuten.»

Steckt hinter dem Verhalten Absicht oder sind es Fehler?
Manche Hersteller scheinen unter grossem Druck zu stehen, die Patch-Zahlen monatlich nach oben zu schrauben. Wenn die Nutzer die neuesten Updates haben wollen, dann wird halt manchmal nur das Datum geändert. So hat bei einigen Herstellern – nicht bei allen – die Qualität gelitten. So kam es zu Fehlern. Selbst Hersteller wie Samsung hatten scheinbar Schwierigkeiten, alle Patches zu installieren. Aber genau das wollen wir mit unserer Forschung einfordern. Es ist nicht gut genug, jeden Monat irgendwas zu machen. Hersteller müssen die Updates vollständig installieren.

Wie gravierend ist es für Android-Nutzer, wenn ein Hersteller einen Patch nicht installiert?
Auf Windows-Systemen kann ein einzelner fehlender Patch das Ende der Sicherheit bedeuten. Zum Glück ist es bei Android anders, denn das System ist so aufgebaut, dass mal etwas schieflaufen kann. Jede App ist vom Rest des Betriebssystems abgeschottet. Daher benötigen Angreifer mehrere Schwachstellen, um das System zu infiltrieren: mindestens zwei, oft vier. Ein einzelner vergessener Patch ist daher nicht kritisch. Aber mit jedem nicht installierten Patch steigt die Wahrscheinlichkeit, dass ein Angreifer, der es wirklich darauf anlegt, ein Smartphone hacken kann. Davon sind allerdings normale Nutzer eher nicht betroffen, für sie ist Android sicher genug, auch wenn einige Patches fehlen. Es geht eher um sensible Ziele wie Staatsfeinde, Journalisten oder Whistleblower.

Wo liegen die Gefahren für normale Nutzer denn dann?
Viel gefährlicher als fehlende Patches ist, wie die Nutzer mit der Technik umgehen. Wenn ich auf Zehntausenden Smartphones eine bösartige Software installieren will, dann kann ich entweder Schwachstellen untersuchen und versuchen, fehlende Patches zu finden, oder ich biete im Netz eine verseuchte Raubkopie einer kostenpflichtigen Android-App an und muss wahrscheinlich nur zehn Minuten warten, bis mein Virus tausendfach installiert wurde. Das passiert in erschreckendem Ausmass. Etwa 20 Millionen Android-Geräte infizieren sich jeden Monat, weil Nutzer Viren installieren. Sie vertrauen Apps aus fremden Quellen und ignorieren Sicherheitswarnungen. Die Nutzer sagen im Grunde «Ich will gehackt werden». Das hat nichts mit fehlenden Patches zu tun.

«Wer auf eine Betrugsmasche hereinfällt, der kann nicht das Betriebssystem in die Pflicht nehmen.»

Wie können sich Nutzer gegen gefälschte Apps schützen?
Android-Nutzer sollten sich klarmachen: Jede installierte App ist ein potenzielles Risiko. Selbst wenn sie die App wieder deinstallieren, kann es längst zu spät sein. Zudem ist es wichtig, den Apps so wenig Rechte wie möglich einzuräumen. Böswillige Apps benötigen zweimal die Hilfe des Nutzers: Einmal bei der Installation und anschliessend erneut, wenn die App Rechte fordert. Wenn eine böswillige App etwa auf die gespeicherten Fotos zugreifen darf, dann könnte sie alle Fotos verschlüsseln und ein Lösegeld vom Nutzer verlangen, damit er sie wiederbekommt. Mit den Rechten sollten Nutzer sehr vorsichtig sein.

Helfen Antiviren-Apps für Android-Geräte?
Eher nicht, denn das Android-System ist dann doch so sicher, dass Antivirenprogramme die anderen Apps nicht analysieren können. Sie dringen selbst nicht durch. Ausserdem tut Google verdammt viel: Alles, was fremde Antivirenscanner können, macht das Unternehmen ohnehin schon selber. In seinem Play Store werden die Apps gescannt. Google warnt auch vor bekannten böswilligen Programmen, die versuchen, den Play Store zu umgehen und so auf Geräte zu gelangen. Aber selbst Google ist nicht perfekt, denn der Bösewicht hat so viele Versuche, wie er will. Wenn von hundert problematischen Apps nur eine durchkommt, hat der Hacker sein Ziel erreicht.

Raten Sie besorgten Android-Nutzern zu einem iPhone von Apple?
Apple hat es in vielen Fällen einfacher. Das Unternehmen entwickelt das Betriebssystem iOS selber, das auf wenigen iPhones läuft. Alles kommt aus einer Hand, während das Android-System von Google, den einzelnen Geräte-Herstellern, Prozessor-Herstellern und oft auch Mobilfunkanbietern beeinflusst wird. Trotzdem besteht kein Grund zur Panik. Android ist relativ sicher, etwa verglichen mit Windows. Es gibt viele andere Gründe, die für oder gegen ein Android-Smartphone oder ein iPhone sprechen. Da sollte Sicherheit nicht an erster Stelle stehen. In den meisten Fällen wird Android auch nicht gehackt. Die Android-Nutzer hacken sich selber, indem sie unsichere Apps installieren. Wer auf eine Betrugsmasche hereinfällt, der kann nicht das Betriebssystem in die Pflicht nehmen.


Video – Damit Android-Telefone weniger nerven!

Vier Methoden für einen entspannten Umgang mit dem mobilen Begleiter. Video: Tamedia


(Tages-Anzeiger)

Erstellt: 17.04.2018, 17:06 Uhr

Artikel zum Thema

Was das nächste Android bringt

Google hat erste Details zur neuen Handysoftware verraten. Wir fassen die wichtigsten Neuerungen von Android P zusammen. Mehr...

Teslas Testfahrzeuge wurden gehackt

Digital kompakt Hacker haben beim Elektroauto-Pionier heimlich Crypto-Währung generiert. Und Android will besser vor heimlichen Fotos schützen. Mehr...

Bekommt die Apple Watch bald individuelle Zifferblätter?

Digital kompakt Eine Code-Zeile gibt Anlass für Spekulationen. Und Google hat eine Android-Neuerung wohl zu früh gezeigt. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Newsletter

Der ideale Start in den Tag

Sonntags bis freitags ab 7 Uhr die besten Beiträge aus der Redaktion.
Newsletter «Der Morgen» jetzt abonnieren.

Kommentare

Werbung

Weiterbildung

Ausbildung & Weiterbildung Finden Sie die passende Weiterbildung Technischer Kaufmann, Deutsch lernen, Coaching Ausbildung, Präsentationstechnik, Persönlichkeitsentwicklung

Die Welt in Bildern

Muss man tragen können: Eine Teilnehmerin posiert am Leipziger Wave-Gotik-Treffen in Deutschland. (20. Mai 2018)
(Bild: AP Photo/Jens Meyer) Mehr...