Infografik: Die Evolution von Android
Es wird nur das Datum geändert, sonst nichts
Laut den Forschern haben sie einige Hersteller von Android-Geräten aufgespürt, die den Sicherheits-Patch-Level des Geräts absichtlich falsch darstellen, indem sie einfach das in den Einstellungen angezeigte Datum ändern, ohne tatsächlich Patches zu installieren.Schaut der Nutzer in seine Einstellung geht er dann fälschlich von der Annahme aus, dass die mit dem dort angezeigten Patch veröffentlichten Security-Updates auch tatsächlich auf seinem Gerät angekommen sind.
Hack in the Box-Präsentation angekündigt
Die genauen Ergebnisse ihrer Untersuchung wollen Karsten Nohl und Jakob Lell von Security Research Labs morgen im Rahmen der "Hack in the Box"-Security-Conference in Amsterdam präsentieren. Einige sind aber vorab veröffentlicht worden.Dieser Betrug ist dabei noch einmal ein ganz anderer Level als die eh schon bei einigen OEMs sehr lange dauernden Release-Zyklen - es ist einfach nur dreist. Laut Security Research Labs sieht man solch Verhalten bei den meisten Android-Gerätepartnern.
Es gibt aber Abstufungen. Das Schlusslicht bilden die beiden chinesischen Anbieter TCL und ZTE - und die Untersuchung bezieht sich dabei nur auf Security-Updates seit Oktober 2017, wir reden hierbei also von gerade einmal dem letzten halben Jahr.
Nicht veröffentlichte Patches:
- 0-1 Google, Sony, Samsung, Wiko
- 1-3 Xiaomi, OnePlus, Nokia
- 3-4 HTC, Huawei, LG, Motorola
- 4+ TCL und ZTE
Insgesamt ist es aber so, dass für Geräte, die mit MediaTek-Chips verkauft werden, häufig kritische Sicherheitspatches fehlen, da die notwendigen Patches einfach von MediaTek nicht zur Verfügung gestellt werden. Samsung, Qualcomm und HiSilicon haben dabei ein weitaus besseres Verhalten an den Tag gelegt und eher gepatcht.