Android und Sicherheit sind in vielen Köpfen noch unvereinbar. Doch dies wandelt sich mit derzeitigen und zukünftigen Maßnahmen und Versionen.
Zunächst wurden monatliche Sicherheitsupdates eingeführt aufgrund der Sicherheitslücke namens Stagefright. Hier kommt es aber auf die Smartphone Hersteller an, ob und wann sie diese zur Verfügung stellen. Und hier trennt sich Spreu vom Weizen. Dagegen ist Google aber in Version 8, Android Oreo, vorgegangen und hat Project Treble ins Leben gerufen. Es nimmt den Herstellern die Ausrede, dass viele Anpassungen an den Updates durchgeführt werden müssten. Denn seit Oreo müssen alle Updates auch auf AOSP laufen, also auf einem reinen Android System.
Mehr Informationen findet ihr dazu im Artikel “Welches Android Smartphone für private und berufliche Nutzung?!“.
Auch der Play Store, der Android´s App Store, hat einige Mechanismen z.B. App Protect zum Schutz der Nutzer implementiert. Dabei wird jederzeit im Hintergrund das Protfolio auf Bedrohungen gescannt. Zu 100% schützen diese Maßnahmen auch nicht, denn der Hauptsicherheitsaspekt sitzt vor dem Bildschirm.
Um unbemerkt ein Gerät zu übernehmen muss ein Hacker ganze Exploitketten ausführen. Das ist sehr kosten- und zeitintensiv, wird also vermutlich nicht so oft vorkommen. Doch bei einem Hochwertziel würde sich das schon lohnen.
Z.B. hat laut Spiegel Georgoe Geshev Mitte März einen Angriff gegen Samsungs Galaxy S8 durchgeführt. Ziel war es, dass das Opfer nur einen Link öffnet und Geshev dauerhaft Zugriffsrechte auf dem Gerät erhält. Es waren 11 Sicherheitslücken in sechs Anwendungen hintereinander durchführen, um einen Erfolg vermelden zu können.
In dem Artikel wird auch die App SnoopSnitch vorgestellt. Diese kann aufzeigen, welche Sicherheitslücken (CVE) per Update geschlossen wurden. Denn nur weil Android in den Systemeinstellungen anzeigt, dass ein bestimmtes Patchlevel (angegeben durch das Datum) installiert ist, heißt es noch nicht, dass auch wirklich alle Lücken geschlossen sind.
Ich habe mal mehrere Geräte getestet:
- BlackBerry Motion, Patchlevel 05.03.2018, Android 7.1.2, gepatcht 142, 2 fehlen, 53 nicht schlüssige Testergebnisse
- Nokia 8, Patchlevel 01.04.2018, Android 8.1, gepatcht 1, 1 nicht schlüssig (es sind aber auch keine weiteren Tests verfügbar)
- Sony Xperia XZ1, Patchlevel 01.04.2018, Android 8.0, 34 gepatcht, 20 nicht schlüssig
- Samsung Note8, Patchlevel 01.03.2018, Android 8.0, 31 gepatcht, 23 nicht schlüssig
Es zählt also nicht nur die schnelle Verteilung, sondern auch der Inhalt!
Android Nachfolger Fuchsia
Fuchsia wird hier ansetzen und die Ansätze kommen zumindest BlackBerry OS10 Nutzern sehr bekannt vor: Das System wird einen Mikrokernel einsetzen und voll modular in der Architektur sein. Des Weiteren wird es für eine Vielzahl an Systemen einsatzbereit sein. Fuchsia steht unter einer Kombination aus BSD-, MIT- und Apache-Lizenzen. Nachteil: Entwickler müssen nicht jede Eigenentwicklung der Community mitteilen.
Dazu mein Beitrag “Microkernel: Für Embedded Systeme die bessere Wahl“.
Es wird noch einige Jahre dauern, aber Google hat “The Book” veröffentlicht, welches euch das System vorstellt. Der Untertitel sagt schon viel: Fuchsia ist nicht Linux. Denn Google ist sich durchaus bewusst, dass es a) schwierig ist den Kernel zu aktualisieren (es werden derzeit bis zu 6 Jahre alte Versionen unterstützt) und b) die Plattform ein Sicherheitsrisiko darstellt.
Wer das System mal im Browser ausprobieren will, kann dies über Github.
Pingback: Manche Android OEMs nehmen es nicht so genau mit den Sicherheitsupdates | BB10QNX.de
Pingback: Some Android OEMs don't take it so seriously with security updates | 9to5MDM
Pingback: Analyse: Neue Smartphones müssen nach OLG Köln nicht sicher sein | Technik.Community