Google, Nokia, OnePlus, Samsung, HTC, Sony, Huawei und ZTE. All diese Hersteller installieren früher oder später die von Google freigegebenen Sicherheitspatches auf die Smartphones ihrer Kunden. Allerdings haben fast alle dieser Hersteller in Bezug auf die Installation dieser Sicherheitsupdates bereits gelogen. Sie änderten nur das Update-Datum in den Einstellungen.
Nachdem Android im Vorjahr immer wieder von schwerwiegenden Sicherheitslücken betroffen war, gelobte Google Besserung. Jeden Monat entwickelt das Unternehmen einen Sicherheitspatch, liefert sie für eigene Geräte aus und bietet dasselbe den verschiedenen Herstellern von Android-Smartphones an. Es gehört zum guten Ton, diese Updates auch zu installieren. In den Einstellungen erkennen die Nutzer auf einen Blick, von welchem Monat die Sicherheitspatches stammen. Manche Hersteller machen das ganz vorbildlich, andere nicht. So zumindest der Anschein, denn fast alle Hersteller haben in der Vergangenheit bei der Auslieferung dieser Updates bereits gelogen.
Ein aktueller Bericht von Wired hat nun aufgedeckt, dass praktisch alle Hersteller ihre nicht ausgelieferten Sicherheitsupdates vertuschen. Anstatt den Patch für die eigenen Smartphones auszuliefern, wird nur ein Update installiert, welches das Datum in den Einstellungen ändert. So werden Nutzer über die Tatsache hinweggetäuscht, dass in Wahrheit kein Update installiert wurde. Die Sicherheitslücke, welche der Patch hätte beheben sollen, bleibt somit weiter offen.
Nokia, Xiaomi, OnePlus, HTC, Huawei, LG, Motorola: Sie alle haben gelogen
Google, Sony, Samsung und Wiko sind jene Hersteller, die noch sehr vorbildlich die Sicherheitspatches für Android installiert haben. Diese Hersteller haben keines bzw. höchstens ein einziges Mal ein Sicherheitsupdate für Android ausgelassen. Xiaomi, OnePlus und Nokia haben dagegen eines bis drei Patches nicht installiert, welche somit auf den Geräten der Nutzer fehlten. Bei den Sicherheitspatches für Android handelt es sich – nicht wie bei Windows 10 – um kumulative Updates, welche auch die vorherigen Patches beinhalten. Ein ausgelassenes Update bedeutet mindestens eine offene Sicherheitslücke im System. Huawei, HTC, LG und Motorola haben sogar drei oder vier Updates ausgelassen und TCL und ZTE ließen direkt vier oder mehr Updates aus.
All diese Hersteller haben bei ihren Geräten allerdings angegeben, dass das aktuellste Android-Sicherheitsupdate installiert sei. Eine glatte Lüge. Wired hat dabei über 1.200 Smartphones dieser Hersteller unter die Lupe genommen.
Nicht der erste Android-Skandal
Es würde ebenfalls erst kürzlich aufgedeckt, dass Google auch dann die Position von Nutzern aufzeichnet, wenn die Ortung auf Android-Smartphones deaktiviert ist. Das Unternehmen geht sogar so weit und sammelt diese Daten selbst dann, wenn WLAN deaktiviert und die SIM-Karte des Smartphones entfernt wurde.
Quelle: Wired
Gewagte These. Beweise? Wenn das stimmt, wäre es ein Platz 1 oder Gigagrößenbanner auf der Bild.de Da war aber nix.
Naja, nichts neues im Staate Dänemark. Und ein Sturm im Wasserglas. Darüber wird sich jetzt aufgeregt, geändert wird sowieso nichts und dann kann schon der nächste neue Skandal in der IT Welt kommen. Ist leider so.
Skandal! ?
Google ist so ein Heuchlerverein….unglaublich,Hauptsache die machen immer so ein Fass auf bei der Veröffentlichung von Microsofts Sicherheitslücken…
Warum Google? Es sind doch die Hersteller, welche die Sicherheitsupdates nicht richtig kumulativ verbreitet haben.
Soll man nun Microsoft genauso belangen, weil HP Laptops mit vorinstallierter Malware verkauft hat? Sicherlich nicht.
https://www.nzz.ch/digital/hp-laptops-mit-malware-verseucht-ld.1338567
Der Gründer von SRLabs hat auch im gleichen Artikel folgendes gesagt:
Überraschenderweise stimmt Nohl dem anderen wichtigen Punkt von Google zu: Das Hacken von Android-Handys durch Ausnutzung ihrer fehlenden Patches ist viel schwieriger als es klingt. Sogar Android-Handys, die nicht über solide Patches verfügen, profitieren immer noch von den umfassenderen Sicherheitsmaßnahmen von Android, wie der Randomisierung des Adressraums – die seit Android 4.0 (Lollipop) den Speicherort eines Programms randomisiert hat, um es für Malware schwieriger zu machen, andere Teile des Telefons auszunutzen – und dem Sandboxing, das den Zugriff eines bösartigen Programms auf den Rest des Geräts einschränkt.
Das bedeutet, dass die meisten Hacking-Techniken, bekannt als Exploits, die die volle Kontrolle über ein Android-Telefon erlangen können, eine Reihe von Schwachstellen in der Software eines Telefons ausnutzen müssen, nicht nur einen verpassten Patch. „Selbst wenn man bestimmte Patches verpasst, sind sie wahrscheinlich nicht so ausgerichtet, dass man sie ausnutzen kann“, sagt Nohl.
Infolgedessen, sagt er, werden Android-Handys viel häufiger mit einfacheren Schemata gehackt, nämlich schurkischen Anwendungen, die ihren Weg in den Google Play Store finden oder die Nutzer dazu verleiten, sie von anderen Quellen außerhalb des Play Stores zu installieren. „Kriminelle werden höchstwahrscheinlich beim Social Engineering bleiben, solange Menschen leichtgläubig sind und freie oder raubkopierte Software installieren, die mit Malware verpackt ist“, sagt Nohl.
Fortgeschrittene, staatlich geförderte Hacker, die gezieltere Angriffe auf Android-Geräte durchführen, könnten jedoch eine andere Geschichte sein. In den meisten Fällen argumentiert Nohl, dass sie wahrscheinlich Zero-Day-Schwachstellen verwenden – geheime, hackbare Bugs, für die es überhaupt keinen Patch gibt – eher als bekannte, aber nicht gepatchte Schwachstellen. Aber in vielen Fällen könnten sie bekannte und noch nicht gepatchte Fehler in Handys in Kombination mit Zero-Day-Schwachstellen verwenden; er verweist beispielsweise auf die Spyware FinFisher, die zu einem bestimmten Zeitpunkt eine bekannte Android-Schwachstelle namens Dirty COW zusätzlich zu ihren eigenen frischen Zero-Day-Angriffen ausnutzte.
Nohl zitiert das Sicherheitsprinzip der „Verteidigung in der Tiefe“ – dass Sicherheit am effektivsten in mehreren Ebenen umgesetzt wird. Und jeder verpasste Patch ist potenziell eine Schutzschicht weniger. „Man sollte es dem Angreifer nie leichter machen, indem man Fehler offen lässt, die Ihrer Meinung nach kein Risiko für sich selbst darstellen, sondern eines der Puzzlestücke eines anderen sein können“, sagt Nohl. „Verteidigung in der Tiefe bedeutet, alle Patches zu installieren.“
Übersetzt mit http://www.DeepL.com/Translator
Hier wird aber lieber mit markanten Worten wie „Lüge“ oder „Skandal“ gearbeitet, statt neutral darüber zu berichten.
+1
Endlich konnte ich es komplett lesen… Interessante Erklärung! Und super Ergebnis von DeepL ???
Das wundert mich nicht. Bleibt nur zu hoffen, dass meine Lumias noch halten. Und falls nicht dann werde ich mich vermutlich mit Apple anfreunden müssen. Dort gibt es wenigstens weniger Sicherheitslücken.
Bei Ebay findest Du zum Glück noch genügend gute Angebote, habe mich auch schon eingedeckt. 🙂
Leider sind die Updates nicht kumulativ und daher sollte man beim Gerätekauf schon auf den Hersteller achten (Pixelgeräte, Nokia und BQ sind sehr gut bzgl. Sicherheitsupdates).
Man kann sich hier eine Tabelle über die ausgelassenen Sicherheitsupdates den Herstellern gegenübergestellt anschauen:
https://media.wired.com/photos/5ace8ba21a12d84608c603e6/master/w_532,c_limit/patches_table-02.jpg
Zum verlinkten Standortverlauf Artikel: Die Tester von Quartz haben den Test mit aktivierten Standortverlauf, aktivierter WLAN und Bluetooth Suche im Hintergrund sowie aktivierten Nutzungs&Diagnose Einstellung durchgeführt. All das kann man deaktivieren und dennoch Google Maps und ähnliches verwenden, ohne daran erinnert zu werden, es zu aktivieren.
Leider sind diese Einstellungen von vorneherein aktiviert (wie u.a. auch die Web- und App-Aktivtäten; Geräteinformation; Sprach&Audioaktivitäten und YouTube Aktivitäten) aber man kann diese deaktivieren und ebenfalls über ein Dashboard einsehen.
Selbstverständlich werden dann noch Daten gesendet aber nicht mehr in dem Ausmaß.
Zum Thema „Android sendet Positionsdaten an Google auch bei deaktivierter Ortung“ sollte erwähnt werden, dass Quartz ein Fehler unterlaufen ist, indem sie Cell-ID-Codes mit MCC und MNC Codes zusammengeworfen haben. Kann man hier nachlesen:
https://www.mobilegeeks.de/news/trotz-deaktivierung-android-geraete-senden-standort-staendig-an-google/
Überraschen tut mich das nicht. Es wundert mich ehrlich gesagt nur, wie so viele Leute noch solche Geräte kaufen.
Vor allem wundert mich, dass MS dem Ganzen nichts entgegensetzen will, obwohl man gerade bei Unternehmen mit Sicherheit werben könnte etc.
Das ist auch der Grund warum ich mir NIEMALS ein Android Gerät holen werde. Dann lieber nochmal mit dem iPhone „rumärgern“.
Als aufmerksamer User verteufelt man schon die Vormachtsstellung von Google. Komisch, dass Medien hier immer noch so wohlwollend berichten. Selbst wenn man mit Leuten spricht oder mal so einen Artikel teilt juckt das Null.
ABER wehe Cortana weiss unter Windows 10 wann wer im Kalender einen Geburtstag stehen hat … ?
+640
Da die meisten meiner Daten eh schon bei MS sind, die mir aber nicht mit personalisierter Werbung und solchem Mist auf die Nerven gehen, sehe ich es auch nicht ein, noch einen Konzern daran zu beteiligen.
Dem stimme ich voll und ganz zu. Ich habe mich schon vor langem von sämtlichen Google Diensten verabschiedet, weil mir auch deren auf Werbewahn gestelltes Geschäftsmodell auf die Nerven geht. Mit meinen Mausklicks und Daten verdienen die jedenfalls keinen Cent mehr. Volle schade dass Microsoft Windows 10 Mobile eingestellt hat – ein schwerer Fehler.
Wenn Leute Google Dienste oder Android benutzen wissen sie vielleicht nicht in welcher Form sie dafür ‚bezahlen‘ – oder es ist ihnen egal. Naja, jeder wie er oder sie meint ?
Richtig. Die Einstellung war ein riesen Fehler – sofern da nicht bald wieder was für die Hosentasche mit vollem W10 kommt. Wieso nutzen denn MS Mitarbeiter Google? Das müsste doch intern rein theoretisch verboten sein, da es sein kann, dass Google eben Nachrichten ausliest um zu spionieren!?!? Schon allein aus dem Grund kann ich nicht verstehen, dass Nadella da voll Android Phones unterstützt. Oder Google hat MS schon spioniert und längst mit Mitarbeitern unterwandert ?
Das würde Einiges erklären ?
Es ist mir auch ein Rätsel warum Microsoft deren Angestellte mit Android Geräten ausstattet – da würde ich eher zu iPhones raten. Aber manche Entscheidungen sind eben schwer, oder für mich zumindest, nicht nachvollziehbar, wie auch die Einstellung von W10 Mobile… naja, ich bin noch gut mit zwei (950 und 950 XL + Akkus) ausgestattet, die sollten bis 2020 laufen, dann schaun wir mal was geht – ich hoffe auch auf etwas mit W10 und Hosentasche ?
Microsoft sollte endlich wieder zum Hundefutter Verfahren zurückkehren, daß nämlich die Mitarbeiter gezwungen sind mit den Produkten der eigenen Firma zu arbeiten. Erst dann wird sich die Qualität wieder verbessern. Wenn die Mitarbeiter die Produkte der eigenen Firma nicht mal kennen wird das nichts. Das hatten die früher besser im Griff.
Das wäre das Erste, was Nadella hätte konsequent weiterführend müssen. Die eigenen Dienste und Produkte tagtäglich nutzen durch alle Bereiche des Konzerns. Aus der Entwicklung sollten Mitarbeiter natürlich Konkurrenzprodukte nebenher nutzen, um auch mal einen Blick über den Tellerrand zu bekommen.
An seiner Stelle hätte ich die Skype-Funktionen auch in GroupMe entwickelt und einen neuen MultiMessenger auf die Phones gebracht. Das fällt einem aber auch erst auf, wenn man die Dienste nutzt ? ob Nadella sich wohl Skype auf seinem iPhone antut oder ob er doch lieber Whatsapp nutzt? ??
Ich denke nicht, dass die Apple Mitarbeiter freiwillig mit einem Samsung Galaxy rumlaufen. Allein schon aus Image Gründen ? genau so sollte Microsoft es auch machen. Naja … Zumindest wird wohl intern gerne ein Surface Gerät genutzt. Das ist ja schonmal was ?
Sehe ich ganz genauso! Zudem gehört sich das sich einfach für einen weltbekannten Konzern, die eigenen Produkte zu nutzen, um dafür auch werben und sie vernünftig (!) verbessern zu können.
Aber das kennen wir ja schon… WunschRealität ?
Nadella ist Googles Elop ?
Ziemlich unverfroren, was da manche Hersteller treiben.
Im Artikel bitte die Stellung des Bindestrichs korrigieren, da sich sonst ein Sinnfehler ergibt ?: …handelt es sich nicht – wie bei Windows 10 – um kumulative Updates…
Ach HTC macht sich beim U11 nicht mal die Mühe eine Fake Update zu bringen das ist immer noch Stand November 2017
HTC gibt’s immer noch? Dachte die haben sich mit Blackberry verabschiedet.
Da hätten sie auch W10M noch nutzen können ?
Oh je, ist schon schade, das gerade bei dem Thema geschummelt wird, aber wenn wir bei Apple und Microsoft gucken, … Besser ists da auch nicht immer…
Naja gehört hab ich da von sowas noch nicht. Manchmal fixed ein fix ein problem doch nicht vollständig oder so, aber das ist was anderes und wird dann im nächsten patch behoben.
Weder Apple noch Microsoft gaben in den Update Versionen einen anderen Versionsstand aus, als tatsächlich installiert ist.
Apple hat aufgrund sehr übersichtlicher Hardwarevarianten und als einziger Gerätehersteller im eigenen Ökosystem natürlich eine besonders einfache Aufgabe bei Updates zu bewältigen.
Im Unterschied liefert Microsoft in vorbildlicher Weise seit Jahrzehnten automatische Updates auf Milliarden Windows Geräte aller Hersteller aus. Bei Windows CE und Windows Phone 8.x gab es längere Update Zyklen, die von der Mitwirkung der Gerätehersteller abhängig waren. Das hat Microsoft aber auch geändert. Mobilgeräte erhalten seit Windows 10 Mobile ebenso monatlich automatische Windows Updates direkt von Microsoft wie PCs.
Eine solche betrügerische Geschäftspraxis überhaupt zu ermöglichen geht voll zu Lasten von Google, der Firma die als einzige der Mitspieler in diesem Ökosystem zig Milliarden jährlich an Einnahmen mit Android generiert. Eine Relativierung des Skandals durch Verweise auf Apple oder Microsoft ist völlig unangebracht.
Kürzlich wurde aufgedeckt? Ganz ehrlich… wenn man ein wählscheibentelefon besitzt… OK kann ich verstehen dass man das nicht mitbekommt. Das Google dies tut ist quasi schon so alt wie Android selbst. und viele beweise suchen muss man auch nicht. Ein Blick auf Google maps genügt. Woher kommen sonst die präzisen verkehrsdaten? Klar gibt es auch andere Quellen. Das meiste stammt aber von den Android phones. Gerade in de hat der gemeine Nutzer GPS und WLAN immer aus. Akku sparen und so weiter. Da müssten viele Bereiche einfach weiß bleiben aber weit gefehlt… Ganz ehrlich… Wie kann man erst kürzlich davon gehört haben? Genau wie kürzlich erst den meisten bekannt geworden ist was WhatsApp mit dem Adressbuch macht… ignorant. Sorry für den Ausbruch aber das ist eine Sache die man hätte erkennen können.
erkennen ja, beweisen nein. Man muss sich halt leider schon hinsetzen und etwas analysieren, damit man auch stichhaltige Beweise hat. Gewusst haben wir es ja eh schon immer, aber bewiesen hat es nie wer. Das ist auch das große Problem bei dem Thema. Die Nutzer überrascht es nicht mehr und somit ist es den meisten leider egal. Wenn sie aber sehen würden, wer Zugriff auf ihre Schwanzfotos hat, dann wären manche Nutzer vielleicht sensibler in Bezug auf Datenschutz.
Indiz vs. Beweis :-/
Albert, du hast Schwanzfotos auf deinen Smartphones?!? ?
Deswegen ja Windows und nicht Android. ??
+1
+1
ich hab eine Katze. Daher sehr viele 😉
? Ich auch teilweise sogar Rudelschwanzfotos! ?
OT: Was macht denn WhatsApp mit dem Adressbuch?
Auslesen und zu Facebook schicken. Früher wurden automatisch an alle Einladungen zu WhatsApp verschickt, was überhaupt erst zu der großen Verbreitung von WhatsApp geführt hat. Irgendwann wurde das aufgrund öffentlicher Kritik auf Opt-In geändert. Aber da war es längst gelaufen und WhatsApp war der Marktführer unter den Chat Programmen.
IMHO wurde bisher lediglich festgestellt (und von WhatsApp auch so kommuniziert), dass WhatsApp die Telefonnummern (ohne Namen, Adressen o.ä.) hochlädt, um dem WhatsApp-User anzuzeigen, welcher der Kontakte ebenfalls WhatsApp nutzt. Aus Programmierersicht ist das eine relativ saubere Lösung – es werden nur die absolut notwendigen Informationen übertragen. WhatsApp benötigt dazu den Zugriff auf die Kontakte – zum einen, um die Telefonnummern lesen zu können, zum anderen, um dem Anwender im einem WhatsApp-Chat anstelle der Telefonnummer den Namen des Kontakts anzeigen zu können.
Dass WhatsApp das Adressbuch (welches außer der Telefonnummer eines Kontakts meist auch weitere Daten wie Name, Adresse usw. enthält) auf seine Server hochlädt, ist meines Wissens nach eine Behauptung, die sich hartnäckig hält, aber dadurch nicht glaubwürdiger wird.
Siehe auch WhatsApp-FAQ: https://faq.whatsapp.com/de/general/26000061
Ich habe nichts dazu geschrieben, welche Felder bei den Kontakten aus dem Adressbuch ausgewertet werden, nur daß die Kontakte hochgeladen werden und früher dazu genutzt wurden um alle zu WhatsApp einzuladen, was überhaupt erst zu der heute so großen Verbreitung des Dienstes geführt hat.
Deine (saloppe?) Antwort „Auslesen und zu Facebook schicken“ auf die Frage, was WhatsApp mit dem Adressbuch macht, erweckt den Eindruck, WhatsApp lade das komplette Adressbuch hoch, noch dazu zu Facebook und nicht zu WhatsApp. „Die Kontakte“ sind nun mal mehr als „die Telefonnummern“, deshalb ist es meiner Meinung nach irreführend zu behaupten, WhatsApp lade das Adressbuch des Users hoch.
Also die meisten Androidnutzer, die ich allein in DE so sehe, haben meist alles mögliche an. GPS, WLAN, Bluetooth… Was gibt’s noch? Egal ob sie es grad tatsächlich verwenden.
Um Akku schert sich da keiner. Kann man doch überall schnell wieder aufladen…
Am Anfang hab ich als braver Ex-WindowsMobiler auch schön alles deaktiviert. Hab mich dann gewundert, wenn ich im Supermarkt an der Kasse stehe, warum eine Nachricht aifpoppt, dass ich meinen Einkauf in diesem Supermarkt doch bewerten soll und vielleicht noch ein Foto hochladen… Ob Updates die Einstellungen immer wieder aktiviert oder ob Googledienste das einfach umgehen dürfen, habe ich noch nicht festgestellt. Aber es sollte einem bei Android einfach klar sein, dass man gläserner ist als bei MS oder Apple.
Θ_Θ Oha, das ist schon krass ?
Ich weiß schon warum ich ein klassisches Tastenhandy jedem Androiden vorziehe… ?
So krass? Dann hast du aber sicher die App von dem Laden installiert oder? ?. Wobei die App ohne GPS jabtrotzdem nicht wissen dürfte, ob du gerade da bist ^^ ?
Ich weiß nicht mal ob der Marktkauf ne eigene App hat. Die Nachricht kam direkt von Google Maps App…
Dann hast du dich kürzlich dorthin navigieren lassen…
Θ_Θ
Das kann sein, zwar nicht Maps benutzt, aber beim Termin in der Outlook App den Ort angegeben (bin da sehr pedantic bei Kalendereinträgen oder Kontakten). Und das Android den Ort aus Google Maps bezieht, wird das die Lösung sein.