Schrift:
Ansicht Home:
Netzwelt

Smartphone-Sicherheit

Android ist besser als sein Ruf

Wie macht man ein Android-Smartphone sicher? Indem man ein iPhone benutzt. Mit dieser alten Expertenweisheit wollen Berliner Hacker aufräumen. Doch dabei sind ihnen Versäumnisse der Hersteller aufgefallen.

DPA

Android-Männchen im Berliner Google-Büro

Von
Donnerstag, 12.04.2018   08:35 Uhr

Erinnert sich noch jemand an Stagefright die Mutter aller Android-Sicherheitslücken? Die "schlimmste in der Geschichte mobiler Betriebssysteme", wie ihr Entdecker im Juli 2015 behauptete? 95 Prozent aller Android-Geräte, also Hunderte Millionen Smartphones und Tablets, hätten damit ausspioniert werden können. Theoretisch.

Praktisch ist nichts dergleichen geschehen. Weder Stagefright, noch andere medienwirksam veröffentlichte Sicherheitslücken wie Quadrooter oder Rowhammer hatten Angriffswellen zur Folge. "Die wird es laut unseren Forschungsergebnissen auch in Zukunft nicht geben", sagt Karsten Nohl, Gründer des Berliner IT-Sicherheitsunternehmens Security Research Labs (SRLabs) im Gespräch mit SPIEGEL ONLINE.

Wie konnte das nicht passieren?

Nohl und seine Mitarbeiter haben zwei Gründe identifiziert. Erstens: Nach Stagefright haben Google und mehrere Smartphone-Hersteller monatliche Sicherheits-Patches eingeführt. Die können aber nicht der alleinige Grund für die ausgebliebene Android-Apokalypse sein, denn längst nicht alle Geräte erhalten diese Patches. Selbst Hersteller, die sich bemühen, vergessen das eine oder andere wichtige Update einfach, wie SRLabs festgestellt hat.

Hätte, hätte, Exploitkette

Zweitens, sagt Nohl, ist das ganze Betriebssystem im Laufe der Zeit derart komplex geworden, dass es nicht mehr ausreicht, mit einem Schadprogramm - in Fachkreisen Exploit genannt - eine einzelne Sicherheitslücke auszunutzen. Natürlich kann sich ein Nutzer quasi selbst hacken, indem er aus einem inoffiziellen App-Store eine bösartige App (oder eine gut gemachte Kopie einer populären App aus dem Google Play Store) installiert und ihr sehenden Auges alle möglichen Zugriffsrechte gewährt.

Aber man brauche schon ganze Exploitketten, um Android-Smartphones vollständig fernsteuern zu können, ohne dass die Besitzer etwas dafür tun müssen oder die Infektion bemerken, sagt Nohl. So etwas sei sehr aufwendig und teuer und komme daher nur in der Forschung und beim Einsatz teurer Software für Geheimdienste und Strafverfolger vor, die damit einzelne Zielpersonen überwachen. Massentauglich sind solche Hacks nicht. Kurz: Hätte, hätte, Exploitkette.

Es gibt ein anschauliches, aktuelles Beispiel: Der Sicherheitsforscher Georgoe Geshev hat Mitte März einen Angriff gegen Samsungs Galaxy S8 demonstriert, bei dem das Opfer nur auf einen Link klicken muss, damit die Angreifer volle und dauerhafte Zugriffsrechte auf sein Gerät bekommen. Geshev musste dafür elf - in Zahlen: 11 - Schwachstellen in sechs Apps aneinanderreihen.

Ein Hack in elf Teilen

Der für die Sicherheit der Android-Plattform zuständige Google-Manager Rene Mayrhofer zeigte sich auf Twitter beeindruckt, hielt das Beispiel aber gleichzeitig für „eine "nette Bestätigung für die Wirksamkeit unserer Sicherheitsstrategie"“.

Der nötige Aufwand, um Androids Abwehrtechniken zu umgehen, ohne dass Opfer es mitkriegen, spiegelt sich in den Summen, die Hackerwettbewerbe oder Hersteller für die Offenlegung von Sicherheitslücken zahlen. Google zum Beispiel hat einem Sicherheitsforscher zuletzt 112.500 Dollar dafür gezahlt.

Android-Sicherheit: Entwickelt von vier Affen?

Die öffentliche Wahrnehmung von Android ist jedoch eine andere. Auf die Frage, wie man ein Android-Smartphone sicher macht, antworten Sicherheitsexperten seit Jahren: Besorg dir ein iPhone. Der Kryptografie-Professor Matthew Green hat über die Sicherheit der Plattform geschrieben: „"Es heißt, eine unendliche Anzahl von Affen, die ewig an Schreibmaschinen sitzt, wird irgendwann ein Shakespeare-Werk schreiben. Android sieht nach vier Affen und einem langen Wochenende aus."

Karsten Nohl will das zumindest relativieren: "Android als Technologie ist in den letzten Jahren sehr viel sicherer geworden, vermutlich sogar sicherer als Windows." Allerdings würde er nicht behaupten, Android sei sicherer als Apples iOS. Schon allein, weil Apple seine Sicherheitsupdates zentral an alle Nutzer (mit dem aktuellen Betriebssystem) verteilt, während ein Android-Patch von Google über den Chiphersteller an den Smartphone-Hersteller und von dem über den jeweiligen Mobilfunkanbieter an den Kunden weitergereicht werden muss.

Bei jedem dieser Beteiligten kann der Patch hängenbleiben. Und das passiert immer wieder. In einem komplizierten Prüfverfahren, das Nohl und sein Mitarbeiter Jakob Lell am Freitag auf der Konferenz Hack in the Box in Amsterdam vorstellen werden, konnten sie das nachweisen.

Herstellerangaben zu Patches per App überprüfen

Die 164 untersuchten Patches für kritische oder schwerwiegende Sicherheitslücken aus dem Jahr 2017 waren nur an eine Handvoll Geräte, zum Beispiel das Google Pixel 2, vollständig ausgeliefert worden. Auch bei Sony , Wiko und Samsung fehlte im Schnitt allenfalls eines der 164 Updates.

Bei Xiaomi, OnePlus und Nokia fehlten im Durchschnitt zwischen einem und drei Patches. Bei HTC, Huawei, LG und Motorola waren es drei bis vier. Beim chinesischen Hersteller ZTE fehlten mehr als vier. Im Durchschnitt heißt hier, dass es Abweichungen in einzelnen Modellen eines Herstellers gab - in einem älteren Samsung-Modell zum Beispiel waren zwölf Patches nicht nachweisbar, die ein Nachfolgemodell allesamt hatte. Im Extremfall fehlten einem Gerät Dutzende Patches.

Nutzer bekommen allerdings etwas anderes signalisiert. Im Einstellungsmenü ihres Gerätes ist unter dem Punkt "Über das Telefon" der Stand der Sicherheitsupdates zu sehen. Angezeigt werden aber nicht alle installierten Updates, sondern nur ein Datum. Bis zu diesem, so muss man es als Nutzer verstehen, wurde alles installiert. Laut den Untersuchungen von SRLabs stimmt das meist nicht.

Screenshot aus der neuen SnoopSnitch-App

Nohl und seine Mitarbeiter haben deshalb eine App entwickelt, die Nutzern zeigt, ob Patches vergessen wurden, die laut den Geräteinformationen eigentlich installiert sein müssten. Genauer: Sie haben ihre App SnoopSnitch ergänzt. Die wurde erstmals Ende 2014 vorgestellt und warnt vor bestimmten Überwachungsversuchen.

Nun hofft Nohl, dass Nutzer von SnoopSnitch ihre jeweiligen Smartphone-Hersteller mit den fehlenden Patches konfrontieren. Damit auch die nächste schlimmste Sicherheitslücke aller Zeiten möglichst folgenlos bleibt.

Update: In einer früheren Fassung dieses Artikels hieß es, die App SnoopSnitch funktioniere nur auf Smartphones, auf denen sich der Nutzer Root-, also Administratorrechte, verschafft hat. Das ist nicht richtig, wir haben den Satz entsprechend geändert.

insgesamt 82 Beiträge
bigfraggle007 12.04.2018
1.
Hätte Android einen soooo schlechten Ruf, wäre es nicht so erfolgreich. Letztendlich hat die Freiheit, die man gegenüber iOS bekommt, halt seinen Preis.
Hätte Android einen soooo schlechten Ruf, wäre es nicht so erfolgreich. Letztendlich hat die Freiheit, die man gegenüber iOS bekommt, halt seinen Preis.
murray_bozinsky 12.04.2018
2. Android ist nicht "besser als sein Ruf"
Eher schlechter, denn der durchschnittliche Smartphone-User kümmert sich um Sicherheit einen feuchten Kehricht und denkt ohnehin "mir passiert schon nichts". Was im Artikel beschrieben wird, ist im Grunde "Security [...]
Eher schlechter, denn der durchschnittliche Smartphone-User kümmert sich um Sicherheit einen feuchten Kehricht und denkt ohnehin "mir passiert schon nichts". Was im Artikel beschrieben wird, ist im Grunde "Security durch diversity", also dass die extreme Fragmentierung auf dem Gerätemarkt eine allgemein gehaltene Attacke quasi unmöglich macht. Schön für die Benutzer, aber es ändert am vermurksten Grundkonzept nichts. Auf die gleiche Weise könnte man ja argumentieren, dass unter Windows Keylogger in HP-Treibern usw. kein großes Problem seien, weil die Lücke in der Praxis nicht ausgenutzt wird. Nein, sorry, was Sicherheit und Patches angeht gibt es bei Android einfach einen Geburtsfehler, und der stellt in Verbindung mit der nachlässigen Produktpflege vieler Hersteller ein Problem dar. Vielleicht nicht heute, vielleicht nicht morgen... Aber irgendwann bestimmt.
3daniel 12.04.2018
3. App funktioniert nur auf gerooteten Geräten
Facepalm wie können Sicherheitsforscher so etwas bewerben.......
Facepalm wie können Sicherheitsforscher so etwas bewerben.......
sschuste 12.04.2018
4.
Android ist so erfolgreich, weil es so unheimlich viele billige Smartphones gibt. Frag doch mal den normalen Handy-Besitzer, was er von Androids Ruf hält oder ob er ein iPhone für sicherer hält, und er wird dich [...]
Zitat von bigfraggle007Hätte Android einen soooo schlechten Ruf, wäre es nicht so erfolgreich. Letztendlich hat die Freiheit, die man gegenüber iOS bekommt, halt seinen Preis.
Android ist so erfolgreich, weil es so unheimlich viele billige Smartphones gibt. Frag doch mal den normalen Handy-Besitzer, was er von Androids Ruf hält oder ob er ein iPhone für sicherer hält, und er wird dich verständnislos anglotzen.
faekalaerosol 12.04.2018
5. Darum LineageOS
Sicheres Android kann einfach sein, allerdings darf man sich nicht auf die Gerätehersteller verlassen sondern muss ein Custom ROM installieren. Die im Artikel genannten Lücken wurden am schnellsten vom LineageOS-Projekt [...]
Sicheres Android kann einfach sein, allerdings darf man sich nicht auf die Gerätehersteller verlassen sondern muss ein Custom ROM installieren. Die im Artikel genannten Lücken wurden am schnellsten vom LineageOS-Projekt geschlossen. Daher vorzugsweise beim Kauf schon darauf achten dass das Gerät offiziell von LineageOS unterstützt wird. Ein Gerät mit großer Installationsbasis hat die größten Chancen, lange von LineageOS mit Updates versorgt zu werden. Ein Blick in die Statistik zeigt welche Plattform die meisten Installationen hat: https://stats.lineageos.org Mein Smartphone ist inzwischen 4 1/2 Jahre alt und ist trotzdem softwareseitig tagesaktuell und ausreichend schnell, LineageOS ist frei von jeglichem Balast.

Verwandte Artikel

Mehr im Internet

Anzeige

Anzeige

Artikel

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
TOP