Fast jedes Android-Gerät weist mindestens eine Sicherheitslücke auf
Zu dem Ergebnis kommen Forscher der University of Cambridge, nachdem sie mit der App Device Analyzer mehr als 20.000 Android-Smartphones und -Tablets untersucht haben. Sie untersuchten damit die Verbreitung von elf Sicherheitslücken, von denen einige bereits seit fünf Jahren bekannt sind.
87 Prozent aller Android-Geräte sind über mindestens eine von elf schon lange bekannten und als kritisch eingestuften Sicherheitslücken angreifbar. Zu diesem Ergebnis sind Wissenschaftler der University of Cambridge gekommen. Sie haben zuvor mit der App Device Analyzer über 20.000 Android-Smartphones und -Tablets untersucht.
Zu den elf exemplarisch ausgewählten Schwachstellen, nach denen im Rahmen der Untersuchung gefahndet wurde, gehört auch eine im Linux-Kernel (CVE-2014-3153), die seit Juni 2014 vom Tool Towelroot ausgenutzt werden kann, um Android-Smartphones zu rooten. Auch der als Fake ID bezeichnete Bug, der App-Berechtigungen in Android unwirksam macht, stand auf der Liste.
Der Untersuchung der University of Cambridge zufolge läuft seit April 2013 auf über 80 Prozent der Android-Geräte eine unsichere Version des Betriebssystems. Anfang 2013, Anfang 2014 und auch Anfang 2015 lag der Wert kurzzeitig jeweils sogar bei fast 100 Prozent.
Die Forscher kritisieren, dass für Nutzer bei der Anschaffung von Android-Geräten völlig intransparent ist, welcher Hersteller die von Google entwickelten Sicherheits-Patches in seine Android-Versionen integriert und ausliefert. Nur der jeweilige Hersteller wisse, ob ein Gerät sicher sei und Sicherheitsupdates erhalte. Den Forschern zufolge bekommen Android-Geräte im Durchschnitt nur 1,26 Sicherheits-Updates pro Jahr. Geräte mit Custom ROMs wurden dabei allerdings nicht berücksichtigt. Beispielsweise liefern die Entwickler von CyanogenMod in der Regel Sicherheits-Updates innerhalb weniger Tage aus.
“Die Sicherheitscommunity ist schön länger wegen der fehlenden Sicherheits-Uupdates für Android-Geräte besorgt”, sagte Andrew Rice, einer der Forscher der University of Cambridge. “Unsere Hoffnung ist, dass wir mit der zahlenmäßigen Darstellung des Problems den Leuten bei der Auswahl eines Telefons helfen können, was im Gegenzug ein Anreiz für die Hersteller und Netzbetreiber sein kann, Updates auszuliefern.”
Die Forscher haben zudem einen FUM genannten Index entwickelt. “F” steht für die Anzahl von Geräten des Herstellers mit bekannten Sicherheitslücken, “U” für den Anteil der Geräte mit der aktuellsten OS-Version und “M” für die Zahl der Lücken, die der Hersteller noch nicht geschlossen hat. Auf einer Skala zwischen 0 und 10 erreichen Googles Nexus-Geräte demnach 5,2 Punkte, Produkte von LG 4,0 Punkte und Smartphones von Motorola 3,1 Punkte. Samsung liegt mit 2,7 Punkten auf dem vierten Platz, gefolgt von Sony, HTC und Asus.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de