Alle 10 Sekunden eine neue Schad-App!

IT-Sicherheit und Android dürfen sich 2018 nicht mehr ausschließen. Google hat bereits die Weichen gestellt und will wichtige Updates schneller an Nutzer ausliefern und so Sicherheitslücken zeitnah schließen. Die Gefahr eines Mobile-GAU wächst. Allein in Deutschland nutzen rund 65 Prozent ein Smartphone mit Android-Betriebssystem (Quelle: Statcounter). Diese zunehmende Bedrohung sehen auch die G DATA Sicherheitsexperten bei den aktuellen Malware-Zahlen. Allein im ersten Quartal entdeckten die Analysten 846.916 neue Android-Schadprogramme. Rund 12 Prozent mehr als im ersten Quartal des Vorjahres.

Täglich durchschnittlich 9.411 neue Schad-Apps für das beliebte Android-Betriebssystem erkannten die G DATA Sicherheitsexperten im ersten Quartal 2018. Das heißt: Alle 10 Sekunden erscheint ein neues Schadprogramm. Für das Gesamtjahr 2018 rechnen die G DATA Analysten mit rund 3,4 Millionen neuen Android Schad-Apps. Die aktuellen Zahlen belegen die zunehmende Bedrohung für Smartphone-Nutzer. Cyberkriminelle wissen sehr genau, dass die mobilen Alleskönner längst für alle digitalen Aufgaben vom Shoppen bis zum Banking eingesetzt werden. Die Android-Entwickler sind bemüht alle Smartphones und Tablets besser und schneller mit wichtigen Updates zu versorgen. Denn: Geräte auf dem aktuellsten Stand weisen durch geschlossene Sicherheitslücken weniger Angriffsflächen für Cyberkriminelle auf.

Google zertifiziert keine Smartphones mit veraltetem Android

Ab sofort zertifiziert Google keine Geräte mehr, die mit Android 7 („Nougat“) als Betriebssystem ausgeliefert werden. Der Schritt überrascht nicht, da das Unternehmen bereits mit „Project Treble“ und anderen Maßnahmen Hersteller dazu bringen will, Smartphones zeitnah mit Updates und der neuesten Version von Android zu versorgen.

Für die Hersteller ist es sehr wichtig, dass ihre Geräte zertifiziert sind. Nur so erhalten sie Zugriff auf die Google Mobile Services, also allen Diensten und Apps des Unternehmens, wozu auch der Playstore gehört. Die Anforderungen an die Hersteller, um eine Zertifizierung zu erhalten, steht im sogenannten „Compatibility Definition Document“. Derzeit müssen die Smartphones und Tablets hierfür mit Android 8 ausgeliefert werden. So ist sichergestellt, dass „Project Treble“ auf alle neuen Geräten implementiert ist. Aber haben Hersteller bereits Lücken gefunden? Ein aktueller Bericht von Sicherheitsforschern der Security Research Labs lässt dies vermuten.

Tricksen Hersteller bei Android-Updates?

Sicherheitsexperten kritisieren Smartphone-Hersteller, dass sie Kunden in Bezug auf Aktualisierungen ihrer Geräte und das installierte Android-Betriebssystem täuschen. Mehr als 1.000 Smartphones, auch Geräte namhafter Hersteller, sind betroffen, insbesondere aus der Einsteiger- und Mittelklasse. Hierbei wird dem Nutzer angezeigt, dass das Gerät alle erhältlichen Sicherheitsupdates habe und auf dem neuesten Stand sei, dabei fehlen diese in Wirklichkeit.

Hersteller gehen sogar so weit und ändern das Datum des letzten Updates, ohne tatsächlich neuen Inhalt anzubieten. Der Nutzer bemerkt dies nicht und geht davon aus, dass sein Gerät aktuell ist.

Es muss aber nicht immer böse Absicht dahinterstecken. Bei einigen Herstellern können durchaus technische Probleme der Grund für die fehlerhaften Auslieferungen von Updates sein. Auch die verbauten Prozessoren sind entscheidend: Smartphones mit Samsung-Chips etwa sind weitaus weniger betroffen, als Geräte mit Prozessoren von Mediatek. Der Grund: Die Smartphone-Hersteller sind bei Patches auf die Prozessor-Lieferanten angewiesen. Liefern die Chip-Hersteller nicht, können auch die Anbieter der Geräte das Update nicht veröffentlichen.

Klage von Verbraucherschützern gegen Update-Dschungel

Verbraucher vor dem Ladenregal sind durch das Durcheinander bei Updates genauso verwirrt wie Fachleute. Käufer sind bei Billig-Smartphones häufig bereit für einen günstigeren Preis, beispielsweise Einbußen bei der Qualität der Kamera zu machen. Solche Daten sind in der Produktbeschreibung einzusehen. Dort ist aber nicht zu sehen, wann, ob oder wie lange Updates für das jeweilige Gerät erscheinen. Meist findet sich nur ein Hinweis zur ab Werk installierten Version des Betriebssystems.

Die Verbraucherzentrale NRW will eine Veränderung herbeiführen. Hierzu hat die Organisation bereits im vergangenen Jahr einen Elektrofachhändler verklagt, der ein Smartphone für 99 Euro angeboten hat. Bereits zum Zeitpunkt des Verkaufs wies das Gerät behebbare Sicherheitslücken auf. Denn: Das veraltete Android-Betriebssystem in der Version 4.4 („Kitkat“), welches bereits 2013 auf dem Markt erschien, war hier installiert. Selbst nach Hinweisen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) 2016 hat der Hersteller nicht reagiert. Updates für das Gerät blieben aus.

Die Verbraucherzentrale hätte auch Google als Entwickler von Android oder den Hersteller des Mobilgeräts verklagen können, hat sich aber schlussendlich für den Händler entschieden, weil dieser für Verbraucher der unmittelbare Vertragspartner ist und die Pflicht hat, Kunden über vorhandene Sicherheitslücken in einem neuwertigen Gerät zu informieren.