Werde Teil der Community - Registriere dich jetzt kostenlos! | Login
Anzeige
 
 

Lineage OS: Offener Umgang mit Android-Schwachstellen

Christopher Gabbert 16.04.2018 - 13:24|0
Lineage OS: Offener Umgang mit Android-Schwachstellen

Nicht nur bekannte Smartphone-Hersteller schummeln bei Android-Updates, auch auf Smartphones mit dem alternativen Android-Betriebssystem Lineage OS klaffen zahlreiche Lücken. Allerdings informieren die Entwickler die Nutzer darüber.

In der vergangenen Woche wurde bekannt: Manche Hersteller von Android-Smartphones schummeln bei Sicherheits-Updates, indem sie teilweise Google-Patches auslassen oder nur das Patch-Datum ändern. Die Folge ist ein erhöhtes Sicherheitsrisiko für die Nutzer. Wie sich jetzt zeigt, sind es allerdings nicht nur Smartphones bekannter Hersteller, sondern auch Geräte mit dem alternativen Android-Betriebssystem Lineage OS betroffen.

Anzeige

Das zeigt eine Überprüfung mit der App "SnoopSnitch", mit der Smartphones auf fehlende Sicherheitsupdates analysiert werden können. Beispielsweise fehlen dem Tool zufolge dem LG G3 mit Lineage OS 14.1 mindestens drei Sicherheitspatches, obwohl in der Systeminfo der Patch-Stand auf 5. März 2018 datiert ist. Da die App allerdings in 13 Fällen kein eindeutiges Ergebnis ausspuckt, sind es voraussichtlich sogar noch mehr. Allerdings stehen die oft freiwilligen Mitglieder des Lineage-OS-Teams bei der Integration auch vor speziellen Hürden.

Lineage OS: Einige Hürden des Projekts nicht überwindbar

So gibt es zum einen Patches aus dem Android Open Source Project, auf dessen Basis das Patchlevel angezeigt wird, die für alle Geräte zentral eingepflegt werden und so für jedes Gerät vorhanden sind. Zum anderen aber auch Updates für den jeweiligen Kernel, die für jedes einzelne Gerätemodell von einem sogenannten Maintainer integriert werden müssen. Findet sich niemand, der freiwillig die Software für das Smartphone pflegt, kann auch niemand Patches einbinden.

Hinzu kommen sogenannte Patches auf Treiber-Ebene in "Closed Source Binaries", die für ältere Smartphones oder Tablet oft gar nicht vom Hersteller zur Verfügung gestellt und somit ins Lineage OS technisch nicht integriert werden können. Damit ist es in einigen Fällen gar nicht möglich, Sicherheitslücken zu stopfen. Zugutehalten muss man dem Team hier, dass über den CVE-Tracker von Lineage Nutzer genau einsehen können, welche Patches in der Firmware für ihr Smartphone bereits integriert sind, von welchen Sicherheitslücken das Gerät nicht betroffen ist bzw. welche noch nicht geschlossen wurden.

Mehr Druck auf die Smartphone-Hersteller durch Offenlegung

Keine Möglichkeit zur Einsicht, welche Sicherheitslücken weiterhin im System klaffen, haben Nutzer mit der vorinstallierten Firmware. Denn wie sich zuletzt zeigte, können die Besitzer, selbst wenn der neueste Sicherheitspatch eintrifft, nicht sicher sein, dass auch alle bekannten Sicherheitslücken gestopft wurden. Zudem wissen Nutzer meist nicht, wann der Smartphone-Hersteller - statt eine Sicherheitslücke zu beseitigen - die lückenhafte Funktion einfach nicht mehr unterstützt oder ganz abschaltet. Hier ist nicht nur mehr Sorgfalt der Hersteller beim Schließen der Lücken, sondern auch Informationsweitergabe wichtig.

Bei diesen Smartphone-Herstellern klaffen Sicherheitslücken | (c) Security Research Labs
Bei diesen Smartphone-Herstellern klaffen Sicherheitslücken | (c) Security Research Labs

Natürlich ist davon auszugehen, dass kaum ein "Ottonormal-Nutzer" auf der Hersteller-Webseite den Stand der Sicherheitsupdates auf seinem Smartphone überprüft. Allerdings ließe sich so der Druck auf die Unternehmen erhöhen, mehr Sorgfalt bei den Updates walten zu lassen, um einen Imageschaden abzuwenden, sollten sich Angreifer doch einmal einen Weg durch die Schlupflöcher bahnen. Hier ist Google am Zug, um das eigene Betriebssystem nicht zu einer größeren Baustelle verkommen zu lassen, als es durch die enorme Fragmentierung, halbgare Implementierung von Features oder mangelnde Einheitlichkeit bei der App-Gestaltung bereits ist.

Doch könnten diese Informationen nicht auch potenziellen Tätern die Möglichkeit bieten, ihre Option für einen Hack oder andersweitigen Angriff auszuloten? Das Fehlen der Sicherheitsupdates wird nämlich erst dann besonders gefährlich, wenn Angreifer mehrere Fehler verknüpfen, damit sich ein Android-Smartphone ausspähen, übernehmen oder dessen Besitzer anderweitig schädigen lässt. Nein, denn wer den Angriff auf ein bestimmtes "Ziel" plant, kann sich auch anderweitig zu den Schachstellen des von ihm genutzten Geräts informieren. Und auch dann greifen weitere Hürden wie beispielsweise ASLR oder die sogenannte Sandbox.

Mehr zum Thema: Android-Update, Android-Smartphone, Smartphone, Lineage OS

Quelle: ZDNet, Lineage

Kommentar schreiben

Die Kommentarfunktion ist hier leider nur für angemeldete Benutzer freigegeben.

Du bist nicht dabei?
Werde Teil der Community
Registriere Dich jetzt kostenlos! | Login
Sichere Dir Deinen Usernamen, damit Deine Beiträge und Bewertungen nicht verloren gehen.
 
Kommentare

Es wurden noch keine Kommentare abgegeben.

 
Anzeige
Aktuelle Geräte im Test
Anzeige