Forscher der TU Graz haben in einer umfassenden Studie gravierende Sicherheitsmängel bei Android-Smartphones aller großen Hersteller festgestellt. Demnach nutzen die Hersteller in ihren angepassten Android-Kernels bei weitem nicht alle verfügbaren Sicherheitsmechanismen, um bekannte Schwachstellen zu schließen. Je nach Hersteller sind zwischen 45 und 71 Prozent der Geräte anfällig für sogenannte „One-Day-Exploits“, die öffentlich bekannte Sicherheitslücken ausnutzen.
Die Wissenschaftler analysierten knapp 1.000 Firmware-Images von Samsung, Xiaomi, Oppo, Vivo, Huawei und anderen führenden Marken. Dabei deckten sie auf, dass selbst der unmodifizierte Android-Kernel von Google deutlich mehr Schutzfunktionen bietet als die Hersteller-Versionen. Während der Referenz-Kernel 85 Prozent der untersuchten Exploit-Techniken verhindern konnte, lag die Quote bei den Herstellern nur zwischen 29 und 55 Prozent.
Besonders ältere und günstigere Geräte erwiesen sich als verwundbar. Offenbar schalten die Hersteller bei diesen Modellen bewusst Sicherheitsfunktionen ab, um die Leistung zu steigern. Doch auch Flaggschiff-Smartphones sind betroffen. Samsung schnitt im Vergleich noch am besten ab, Huawei und Fairphone landeten auf den letzten Plätzen.
Zudem identifizierten die Forscher Schwächen in herstellerspezifischen Schutzmaßnahmen von Samsung und Huawei. Auch entdeckten sie fortgeschrittene Exploit-Techniken, mit denen sich vorhandene Abwehrmechanismen umgehen lassen. Die Ergebnisse der Studie wurden den Herstellern zur Verfügung gestellt, die Reaktionen fielen jedoch verhalten aus. Wenn sie überhaupt reagierten, nahmen sie die Forschungen höchstens „zur Kenntnis“.
Die Forscher fordern, dass Google verbindliche Sicherheitsstandards für Android-Geräte festlegt und deren Einhaltung überprüft. Hersteller sollten zudem nicht an essenziellen Schutzfunktionen sparen, nur um die Performance zu optimieren. Anwender könnten sich schützen, indem sie ihr Gerät auf dem aktuellsten Stand halten und unseriöse Apps vermeiden. Letztlich liegt es aber an der Industrie, die aufgedeckten Schwachstellen zu beheben und die Sicherheit von Milliarden Android-Nutzern zu gewährleisten.
Folge jetzt unserem Newsletter-Kanal bei WhatsApp. Info: *provisionierte Affiliate-Links.