Haben Android-Hersteller bei der Auslieferung der Sicherheits-Updates geschummelt? Genau das wollen Entwickler herausgefunden haben, in dem sie von Hunderten Android-Geräten die Software genauer unter die Lupen nahmen. Im Grunde konnte dabei herausgefunden werden, dass für einige Geräte zwar das Sicherheitspatch bis zum Datum X suggeriert wird, tatsächlich ist der Stand aber ein älterer oder zwischenzeitliche Patches wurden ausgelassen. Auch die verbauten Prozessoren haben einen Einfluss darauf, der Gerätepreis sowieso.
Am Ende lässt sich feststellen, dass bei einigen Herstellern mal mehr Patches fehlen, bei anderen Herstellern ein paar weniger. Inbesondere günstige Geräte mit MediaTek-SoC sind auffällig (durchschnittlich 9,7 fehlende Patches). Während bei Herstellern wie HTC, Huawei, OnePlus, Xiaomi, Nokia, Samsung, Sony und selbst Google mal ein Patch im Laufe der Zeit durchrutscht, fehlen bei Herstellern wie TCL und ZTE auffallend viele Patches.
Werden Sicherheitspatches ohne unser Wissen bzw. absichtlich ausgelassen, dann suggeriert das dem Nutzer natürlich einen falschen Stand der Sicherheit. Nur weil mein Gerät laut Software auf Ebene April 2018 ist, muss es deshalb nicht auch alle vorherigen Patches implementiert haben. Das zeigen die Ergebnisse der veröffentlichten Studie. Man geht sogar so weit, vorsätzliche Täuschung entdeckt zu haben.
Manchmal ändern diese Leute einfach das Datum [Sicherheitspatch-Ebene], ohne irgendwelche Patches zu installieren. Vermutlich haben sie aus Marketinggründen den Patch-Level auf ein beliebiges Datum gesetzt, was auch immer am besten aussieht.
Wir haben mehrere Anbieter gefunden, die keinen Patch installiert haben, aber das Patchdatum um mehrere Monate verschoben haben.
Nachvollziehbare Gründe für fehlende Patches gibt es laut Google aber auch: In der Studie sollen auch Geräte ohne Zertifizierung aufgetaucht sein, diese könne man da nicht mit einberechnen. Ebenso kann ein Hersteller eine anfällige Funktion der Software entfernt oder anderweitig behoben haben, sodass ein Patch absichtlich ausgelassen werden kann. Google will dennoch Nachforschungen anstellen.
App analysiert installiertes Patches
Ihr könnt mit der App SnoopSnitch analysieren, ob eurem Gerät ein paar Patches fehlen oder nicht. Installiert die App und wählt über das Hauptmenü (drei Punkte) die „Android patch level analysis“. Ein „Patch missing“ konnte ich bei meinem Huawei P20 lite und dem Xiaomi Redmi 5 Plus nicht entdecken.
[appbox googleplay de.srlabs.snoopsnitch]