Mobile Security: Es könnte so einfach sein…

18.12.2019
G DATA Blog

Die Sicherheitslage für Smartphones mit Android-Betriebssystem verbessert sich – aber nur sehr langsam. Ein wesentlicher Grund dafür: Die große Vielfalt der eingesetzten Versionen. Wir beleuchten in einer zweiteiligen Reihe die aktuelle Problemlage und geben Hinweise, die Sicherheit der Geräte zu verbessern.

Elf Jahre sind seit der Präsentation des ersten Handys mit Android-Betriebssystem vergangen. Mittlerweile liegt der Marktanteil in Deutschland bei mehr als 80 Prozent. Zwar ist die allererste Version nicht mehr auf aktuellen Smartphones zu finden, aber verschiedene Versionen der vierten Generation, besser bekannt unter den Namen “Jelly Bean” und “Kitkat” sind auch sieben Jahre nach dem ersten Release installiert. So lag im Mai 2019 der Anteil der damals aktuellsten Version 9 (Pie) bei 10,4 Prozent. Auf mehr als 28 Prozent der Mobile Devices lief die achte Generation des Betriebssystems (Oreo). Auch wenn Google mittlerweile Android 10 releast hat, ändert sich wenig an der fragmentierten Gesamtsituation. Hinzu kommt, dass Elektronikmärkte immer noch veraltete und unsichere Android-Smartphones verkaufen dürfen, ohne Kunden auf die Risiken hinzuweisen. Ein aktuelles Gerichturteil hat diese Praxis bestätigt. Die Verantwortung liegt also beim Verbraucher.

Alexander Burris

Das Problem dieser alten Versionen: Google hat den Support längst eingestellt, sodass Updates und damit auch Sicherheitspatches nicht mehr bereitgestellt werden. Geräte mit alten Versionen zu nutzen, ist sehr risikoreich.

Alexander Burris

Lead Mobile Researcher bei G DATA CyberDefense

Selbst ist der Anwender

Bevor nun Nutzer in Panik verfallen und sich ein neues Gerät mit der aktuellsten Version kaufen, gilt zunächst einmal: Ruhe bewahren. Wichtig ist erstmaldie Frage, welche Version auf dem eigenen Smartphone aktuell läuft. Diese Frage kann in der Regel kein User auf Anhieb beantworten. Aber ein kurzer Blick in die Einstellung sorgt für Klarheit: Unter Apps > Einstellungen > Über Gerät oder Über Telefon > Android-Version finden User die Antwort. Wer in den Einstellungen “automatische Updates” aktiviert hat, sollte in der Regel immer auf dem neuesten Stand sein. Allerdings betreibt jeder Hersteller seine eigene Update-Politik, was die Lage wiederum verkompliziert. Ein weiterer Haken: Die aktuellste Version eines veralteten Betriebssystems bietet leider keine vollständige Sicherheit. Neben Betriebssystem-Updates rollt Android immer wieder Sicherheits-Updates aus, um aktuelle Lücken zu schließen. Diese werden ebenfalls automatisch installiert. Wer es genauer wissen will, findet die wichtigsten Informationen im Android Security Bulletin. Jeden Monat veröffentlicht Google hier Details zu den monatlichen Updates.

Ein kleiner Blick in technische Tiefen

Im Lauf der vergangenen elf Jahre haben die Entwickler Android kontinuerlich erweitert und verbessert. Sie haben neue Features integriert und spezielle Varianten wie etwa die Android-Variante “Go Edition” für Low-End-Geräte realisiert. Diese zielte auf Geräte mit niedrigem RAM (1 GB oder weniger), langsamen Internetverbindungen und niedrigerer CPU. Das aktuelle Android-10-System bietet hingegen unter anderem eine verbesserte Unterstützung beim Datenschutz: So ist bereits für den Zugriff auf Speicherort oder Dateien im Hintergrund eine Berechtigung erforderlich. Der Zugriff auf eindeutige Gerätekennungen ist eingeschränkt. Auf andere Android-Projekte wie Treble oder Pony-Express gehen wir detaillierter im zweiten Teil dieses Artikels ein.

Allerdings ist das Android-Universum komplexer, als es auf den ersten Blick erscheint. Denn neben Versionsnummer exitieren noch API-Ebenen und NDK-Versionen sowie Plattformkodierungen. In Android 8.0.0.0 (“Oreo”) und höher werden individuelle Builds mit dem Build ID Format PVBB.YYMMDDD.bbb[.Cn] identifiziert. Was aber verbirgt sich hinter dem komplizierter Buchstaben- und Zahlenfolge wie etwa QD1A.190821.014.C2….?

  • P steht für den ersten Buchstaben des Codenamens des Plattform-Release, z.B. O ist Oreo.
  • V stellt eine unterstützte Vertikale dar. Gemäß der Konvention stellt P den primären Plattformzweig dar.
  • BB ist ein alphanumerischer Code, der es Google ermöglicht, den genauen Codezweig zu identifizieren, aus dem der Build stammt.
  • YYMMDDD identifiziert das Datum, an dem das Release vom Entwicklungszweig verzweigt oder mit diesem synchronisiert wird. Es ist nicht immer das genaue Datum, an dem ein Build erstellt wurde, da es üblich ist, dass kleinere Änderungen, die zu einem bestehenden Build hinzugefügt wurden, den gleichen Datumscode wie der bestehende Build wiederverwenden.
  • bbb identifiziert einzelne Versionen, die sich auf den gleichen Datumscode beziehen und mit 001 beginnen.
  • Cn ist eine optionale, alphanumerische Funktion, die einen Hotfix auf einem bestehenden PVBB.YYMMDDD.bbb Build identifiziert, beginnend mit A1.

Ältere Android-Versionen verwenden einen anderen, kürzeren Build-ID-Code (z.B. FRF85B):

  • Der erste Buchstabe ist der Codename der Release-Familie, z.B. F ist Froyo.
  • Der zweite Buchstabe ist ein Zweigcode, der es Google ermöglicht, den genauen Zweig des Codes zu identifizieren, aus dem der Build gemacht wurde. Gemäß der Konvention ist R der primäre Release-Zweig.
  • Der dritte Buchstabe und die folgenden zwei Zahlen sind ein Datumscode. Der Brief zählt die Quartale (A ist Q1 2009, F ist Q2 2010, und so weiter). Die beiden Zahlen zählen Tage innerhalb des Quartals (F85 ist der 24. Juni 2010). Der Datumscode ist nicht immer das genaue Datum, an dem ein Build erstellt wurde, da es üblich ist, dass kleinere Änderungen, die zu einem bestehenden Build hinzugefügt wurden, den gleichen Datumscode wie der bestehende Build wiederverwenden.
  • Der letzte Buchstabe kennzeichnet einzelne Versionen, die sich auf den gleichen Datumscode beziehen und nacheinander mit A beginnen (was implizit ist und normalerweise aus Gründen der Kürze weggelassen wird).

Updates: Mehr als neue Features

Software-Updates bringen nicht nur neue Emojis oder ein neues Design für Smartphones, sondern sie verbessern auch die Sicherheit der Geräte. Denn Entwickler oder Sicherheitsforscher entdecken regelmäßig neue Sicherheitslücken in Betriebssystemen. Manche davon sind harmlos, andere gefährden die Sicherheit massiv, wie etwa eine Lücke in einer Bibliothek zur Anzeige von Medieninhalten vor einigen Jahren offenbart. Damals waren 95 Prozent aller Android-Mobilgeräte betroffen. Daher ist das Bereitstellen von aktuellen Updates extrem wichtig.

Aber: Smartphones und regelmäßige Software-Updates sind kompliziert. So hat die Stiftung Warentest über zwei Jahre die Verteilung von Updates für über 100 Geräte beobachtet. In einem Ranking fassen die Warentester zusammen, wer vorbildlich Updates liefert. Das Resultat: Während andere Hersteller ihre Geräte nur unregelmäßig oder gar nicht mit Software-Updates versorgen, sind Apple und Google mit ihren eigenen Geräten (iPhone sowie Pixel und Nexus von Google) vorbildlich. Sie erzielen im Test 100 Punkte (Apple) beziehungsweise 98 (Google). Was sicherlich auch darin begründet ist, dass beide Konzerne Soft- und Hardware herstellen. Diese Pole Position können sie hier zum eigenen Vorteil nutzen. Unter den noch weiteren Herstellern belegt Oneplus den Folgeplatz mit 83 Punkten. Laut Stiftung Warentest liefere das Unternehmen gewissenhaft Updates – jedes Modell habe mindestens eine größere Android-Version erhalten. Es folgen Motorola mit 81 Punkten, Samsung (80 Punkte), Huawei (76 Punkte) und Sony (67 Punkte). Der Ordnung halber sollte erwähnt werden, dass die Herstellern auf den ersten drei Plätzen ein verhältnismäßig übersichtliches Portfolio anbieten und damit weniger Geräte mit Updates versorgen müssen. Bei anderen Unternehmen wie etwa dem Branchenprimus Samsung sieht es anders aus. Die Südkoreaner stellen ein umfangreiches Angebot an Smartphones in allen Preisklassen bereit. Daher sieht es mit den Updates bei Samsung auch durchwachsener aus: Der Konzern kümmere laut Warentest „ordentlich um teure Topmodelle“. Günstigere oder ältere Modelle erhielten in den vergangenen beiden Jahren aber nur zwei Updates. Ähnlich verhält es sich jedoch auch bei anderen Unternehmen wie Huawei oder Sony.

Im zweiten Teil des Artikels vertiefen wir das Thema Updates bei Android und stellen aktuelle Projekte vor, mit denen Google die Sicherheit verbessern will.

Stefan Karpenstein
Public Relations Manager

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein