Smartphone-Sicherheit Android ist besser als sein Ruf

Wie macht man ein Android-Smartphone sicher? Indem man ein iPhone benutzt. Mit dieser alten Expertenweisheit wollen Berliner Hacker aufräumen. Doch dabei sind ihnen Versäumnisse der Hersteller aufgefallen.
Android-Männchen im Berliner Google-Büro

Android-Männchen im Berliner Google-Büro

Foto: Britta Pedersen/ dpa

Erinnert sich noch jemand an Stagefright die Mutter aller Android-Sicherheitslücken? Die "schlimmste in der Geschichte mobiler Betriebssysteme", wie ihr Entdecker im Juli 2015 behauptete? 95 Prozent aller Android-Geräte, also Hunderte Millionen Smartphones und Tablets, hätten damit ausspioniert werden können. Theoretisch.

Praktisch ist nichts dergleichen geschehen. Weder Stagefright, noch andere medienwirksam veröffentlichte Sicherheitslücken wie Quadrooter oder Rowhammer hatten Angriffswellen zur Folge. "Die wird es laut unseren Forschungsergebnissen auch in Zukunft nicht geben", sagt Karsten Nohl, Gründer des Berliner IT-Sicherheitsunternehmens Security Research Labs (SRLabs) im Gespräch mit SPIEGEL ONLINE.

Wie konnte das nicht passieren?

Nohl und seine Mitarbeiter haben zwei Gründe identifiziert. Erstens: Nach Stagefright haben Google und mehrere Smartphone-Hersteller monatliche Sicherheits-Patches eingeführt. Die können aber nicht der alleinige Grund für die ausgebliebene Android-Apokalypse sein, denn längst nicht alle Geräte erhalten diese Patches. Selbst Hersteller, die sich bemühen, vergessen das eine oder andere wichtige Update einfach, wie SRLabs festgestellt hat.

Hätte, hätte, Exploitkette

Zweitens, sagt Nohl, ist das ganze Betriebssystem im Laufe der Zeit derart komplex geworden, dass es nicht mehr ausreicht, mit einem Schadprogramm - in Fachkreisen Exploit genannt - eine einzelne Sicherheitslücke auszunutzen. Natürlich kann sich ein Nutzer quasi selbst hacken, indem er aus einem inoffiziellen App-Store eine bösartige App (oder eine gut gemachte Kopie einer populären App aus dem Google Play Store) installiert und ihr sehenden Auges alle möglichen Zugriffsrechte gewährt.

Aber man brauche schon ganze Exploitketten, um Android-Smartphones vollständig fernsteuern zu können, ohne dass die Besitzer etwas dafür tun müssen oder die Infektion bemerken, sagt Nohl. So etwas sei sehr aufwendig und teuer und komme daher nur in der Forschung und beim Einsatz teurer Software für Geheimdienste und Strafverfolger vor, die damit einzelne Zielpersonen überwachen. Massentauglich sind solche Hacks nicht. Kurz: Hätte, hätte, Exploitkette.

Es gibt ein anschauliches, aktuelles Beispiel: Der Sicherheitsforscher Georgoe Geshev hat Mitte März einen Angriff gegen Samsungs Galaxy S8 demonstriert, bei dem das Opfer nur auf einen Link klicken muss, damit die Angreifer volle und dauerhafte Zugriffsrechte auf sein Gerät bekommen. Geshev musste dafür elf - in Zahlen: 11 - Schwachstellen in sechs Apps aneinanderreihen.

Ein Hack in elf Teilen

Der für die Sicherheit der Android-Plattform zuständige Google-Manager Rene Mayrhofer zeigte sich auf Twitter  beeindruckt, hielt das Beispiel aber gleichzeitig für „eine "nette Bestätigung für die Wirksamkeit unserer Sicherheitsstrategie"“.

Der nötige Aufwand, um Androids Abwehrtechniken zu umgehen, ohne dass Opfer es mitkriegen, spiegelt sich in den Summen, die Hackerwettbewerbe oder Hersteller für die Offenlegung von Sicherheitslücken zahlen. Google zum Beispiel hat einem Sicherheitsforscher zuletzt 112.500 Dollar  dafür gezahlt.

Android-Sicherheit: Entwickelt von vier Affen?

Die öffentliche Wahrnehmung von Android ist jedoch eine andere. Auf die Frage, wie man ein Android-Smartphone sicher macht, antworten Sicherheitsexperten seit Jahren: Besorg dir ein iPhone . Der Kryptografie-Professor Matthew Green hat über die Sicherheit der Plattform geschrieben : „"Es heißt, eine unendliche Anzahl von Affen, die ewig an Schreibmaschinen sitzt, wird irgendwann ein Shakespeare-Werk schreiben. Android sieht nach vier Affen und einem langen Wochenende aus."

Karsten Nohl will das zumindest relativieren: "Android als Technologie ist in den letzten Jahren sehr viel sicherer geworden, vermutlich sogar sicherer als Windows." Allerdings würde er nicht behaupten, Android sei sicherer als Apples iOS. Schon allein, weil Apple seine Sicherheitsupdates zentral an alle Nutzer (mit dem aktuellen Betriebssystem) verteilt, während ein Android-Patch von Google über den Chiphersteller an den Smartphone-Hersteller und von dem über den jeweiligen Mobilfunkanbieter an den Kunden weitergereicht werden muss.

Bei jedem dieser Beteiligten kann der Patch hängenbleiben. Und das passiert immer wieder. In einem komplizierten Prüfverfahren, das Nohl und sein Mitarbeiter Jakob Lell am Freitag auf der Konferenz Hack in the Box  in Amsterdam vorstellen werden, konnten sie das nachweisen.

Herstellerangaben zu Patches per App überprüfen

Die 164 untersuchten Patches für kritische oder schwerwiegende Sicherheitslücken aus dem Jahr 2017 waren nur an eine Handvoll Geräte, zum Beispiel das Google Pixel 2, vollständig ausgeliefert worden. Auch bei Sony , Wiko und Samsung fehlte im Schnitt allenfalls eines der 164 Updates.

Bei Xiaomi, OnePlus und Nokia fehlten im Durchschnitt zwischen einem und drei Patches. Bei HTC, Huawei, LG und Motorola waren es drei bis vier. Beim chinesischen Hersteller ZTE fehlten mehr als vier. Im Durchschnitt heißt hier, dass es Abweichungen in einzelnen Modellen eines Herstellers gab - in einem älteren Samsung-Modell zum Beispiel waren zwölf Patches nicht nachweisbar, die ein Nachfolgemodell allesamt hatte. Im Extremfall fehlten einem Gerät Dutzende Patches.

Nutzer bekommen allerdings etwas anderes signalisiert. Im Einstellungsmenü ihres Gerätes ist unter dem Punkt "Über das Telefon" der Stand der Sicherheitsupdates zu sehen. Angezeigt werden aber nicht alle installierten Updates, sondern nur ein Datum. Bis zu diesem, so muss man es als Nutzer verstehen, wurde alles installiert. Laut den Untersuchungen von SRLabs stimmt das meist nicht.

Screenshot aus der neuen SnoopSnitch-App

Screenshot aus der neuen SnoopSnitch-App

Nohl und seine Mitarbeiter haben deshalb eine App entwickelt, die Nutzern zeigt, ob Patches vergessen wurden, die laut den Geräteinformationen eigentlich installiert sein müssten. Genauer: Sie haben ihre App SnoopSnitch ergänzt. Die wurde erstmals Ende 2014 vorgestellt und warnt vor bestimmten Überwachungsversuchen.

Nun hofft Nohl, dass Nutzer von SnoopSnitch ihre jeweiligen Smartphone-Hersteller mit den fehlenden Patches konfrontieren. Damit auch die nächste schlimmste Sicherheitslücke aller Zeiten möglichst folgenlos bleibt.

Update: In einer früheren Fassung dieses Artikels hieß es, die App SnoopSnitch funktioniere nur auf Smartphones, auf denen sich der Nutzer Root-, also Administratorrechte, verschafft hat. Das ist nicht richtig, wir haben den Satz entsprechend geändert.