Analyse der TU Graz:

Viele Hersteller nutzen unsichere Android-Kernels

Eine Analyse von Smartphones zehn namhafter Hersteller zeigt, dass die genutzten Android-Kernels anfällig für bekannte Angriffe sind – trotz vorhandener Schutzmechanismen. Verantwortlich dafür zeichnet laut Forschenden TU Graz oftmals eine falsche Konfiguration.

Smartphones sind für viele Menschen stetige Begleiter und wichtiges Arbeitswerkzeug. Neben Kontakten, Terminen und E-Mails kommen die Geräte vermehrt auch für sensible Aufgaben wie Online-Banking oder behördliche Angelegenheiten zum Einsatz. Das erhöht die Anforderungen an die Sicherheit. Wie Lukas Maar, Florian Draschbacher, Lukas Lamster und Stefan Mangard vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz in einer umfangreichen Analyse der Android-Kernels der zehn größten Smartphone-Hersteller festgestellt haben, gibt es hier zahlreiche Mängel, die One-Day-Exploits mit bereits bekannten Angriffsmethoden zuließen.

Je nach Hersteller und Modell konnten demnach bei den untersuchten 994 Smartphones nur zwischen 29 und 55 Prozent der vom Forschungsteam getesteten Angriffe verhindert werden. Im Gegensatz dazu könnte das von Google bereitgestellte Generic Kernel Image (GKI) der Version 6.1 rund 85 Prozent der Angriffe verhindern. Im Vergleich zum GKI schnitten die Hersteller-Kernels bei der Angriffsabwehr bis zu 4,6-mal schlechter ab.

Untersucht hat das Forschungsteam zwischen 2018 und 2023 auf den Markt gekommene Geräte der Hersteller (Auflistung vom sichersten zum unsichersten) Google, Realme, OnePlus, Xiaomi, Vivo, Samsung, Motorola, Huawei, Oppo und Fairphone. Die auf diesen Smartphones verwendeten Android-Versionen reichten von Version 9 bis 14, die Kernels deckten den Bereich von Version 3.10 bis 6.1 ab, wobei Hersteller, die auf niedrigere Kernel-Versionen setzen, „auch weniger Sicherheit bieten“, so die TU in einer Mitteilung.

Effektive Abwehrmechanismen selten aktiviert
Ein weiterer Kernpunkt der Analyse: Es gäbe bereits effektive Abwehrmaßnahmen für eine Reihe der bekannten Angriffsmethoden, in den Kernels der Hersteller seien sie aber selten aktiviert bzw. falsch konfiguriert. „Das führt dazu, dass sogar die Kernel-Version 3.1 aus dem Jahr 2014 mit allen aktivierten Sicherheitsmaßnahmen besser vor bekannten Angriffen schützen könnte als rund 38 Prozent der von den Herstellern selbst konfigurierten Kernels“, so die Forschenden.

Sie stellten außerdem fest, dass Low-End-Modelle der Hersteller um rund 24 Prozent stärker gefährdet waren als High-End-Modelle. Ein wichtiger Grund dafür liege im Leistungsverlust, den zusätzliche Sicherheitsmaßnahmen bedeuteten, weswegen sie in Low-End-Modellen zur Ressourcenschonung oft deaktiviert blieben.

„Wir hoffen, dass unsere Ergebnisse dazu beitragen, dass in Zukunft effektivere Sicherheitsmaßnahmen in den Kernels der Hersteller zu finden sind und Android damit sicherer wird“, so Maar. Man habe die Ergebnisse mit den untersuchten Herstellern geteilt, einige hätten sogar Patches veröffentlicht. Google selbst betonte, sich des Problems bewusst zu sein und die Integration von Kernel-Sicherheitsmaßnahmen Schritt für Schritt verstärken zu wollen. „Es hängt allerdings an den Herstellern, ob sie dafür Leistung opfern möchten.“