@dfncert@infosec.exchangeMobile Devices und Softwareupdates
'Mobile Devices' bestimmen in unserer modernen Gesellschaft zunehmend den Alltag. Das Lesen von Emails oder das Online-Banking: alltägliche Anwendungen werden immer öfter mit einem mobilen Endgerät umgesetzt, privat oder beruflich. Waren es bis vor kurzem nur Smartphones, welche das Handy abgelöst haben, oder Tablet-Computer, die ursprünglich als Bücher-Ersatz gedacht waren, so folgen heute beispielsweise die Uhr, die Brille, das Auto und viele mehr. All diese Alltagsgegenstände werden 'smart', was bedeutet, dass sie mit dem Internet vernetzt sind und häufig über Applikationen (Apps) mit dem Smartphone oder einem Computer zentral verwaltet werden. Diese zunehmende Vernetzung birgt gewisse Risiken und Gefahren für die IT-Sicherheit, in der das Smartphone eine zentrale Rolle spielt. Ein unzureichend aktualisiertes Smartphone kann durch eine auf Ausnutzung von Schwachstellen ausgerichtete Schadsoftware mit relativ geringem Aufwand kompromittiert werden. Wie gehen die Hersteller smarter Geräte mit dieser Situation und ihrer Verantwortung um?
Dieser Artikel befasst sich mit dem Patch-Management von Smartphone-Herstellern und soll einen Überblick verschaffen, wie und wie oft Sicherheits- und Softwareupdates bereitgestellt werden. Hierfür wurden die Plattformen Android und iOS miteinander verglichen, da sie in Deutschland mit zusammen knapp 97% Marktanteil (Stand Januar 2017) die größte Rolle spielen. Die Plattformen Windows Phone, BlackBerry OS und Symbian OS, deren Marktanteil im unteren einstelligen Prozentbereich liegen, werden hier nicht berücksichtigt.
Fallbeispiel Stagefright
Die Veröffentlichung der "Stagefright"-Schwachstellen im Jahr 2015 hat in der Android-Welt bleibende Spuren hinterlassen. Über sämtliche Gerätefamilien hinweg waren fast eine Milliarde Geräte von den Schwachstellen in der Multimedia-Schnittstelle betroffen, durch die ein Angreifer über eine multimediale Kurznachricht (MMS) unbemerkt Schadsoftware zur Ausführung bringen konnte. Die folgende Update-Odyssee hat offenbart, dass kaum ein Hersteller im Android-Segment zu diesem Zeitpunkt ein Patch-Management etabliert hatte, wie man es zum Beispiel von Desktop-Betriebssystemen und -Anwendungen kennt. Sicherheitsupdates ließen lange auf sich warten oder sind zum Teil nie erfolgt. Hier hat sich gezeigt, dass Geräte aus den günstigen Preisklassen oft vernachlässigt wurden. Auch mit Geräten, bei denen der Netzbetreiber eine eigene Software, das umgangssprachliche "Branding"', aufspielt, wodurch nicht mehr der Gerätehersteller allein, sondern auch der Mobilfunkanbieter für Sicherheitsupdates mitverantwortlich ist, zeigten sich Probleme. Aus der Not heraus haben einige Mobilfunkanbieter teilweise den automatischen Empfang von Multimedianachrichten (MMS) abgestellt, um das Risiko, welches von automatisch geladenem Programmcode ausgeht, zu minimieren.
Als direkte Reaktion auf Stagefright hat Google angekündigt, Sicherheitsupdates für Android fortan monatlich herauszubringen, wie es beispielsweise Microsoft für sein Desktop-Betriebssystem umsetzt. Auch Samsung und LG haben als Hersteller von Android-Smartphones reagiert und angekündigt, dem Update-Zyklus von Google zu folgen. Diese Sicherheitsupdates sollen zwar den Geräten der oberen und mittleren Preisklasse vorbehalten sein, trotzdem ist diese Entwicklung positiv.
Viele andere Hersteller haben die Dringlichkeit von schnellen Sicherheitsupdates zwar erkannt, scheuen sich allerdings davor, feste Zusagen für regelmäßige Updates zu machen und geben lediglich an, dass wichtige Sicherheitsupdates zügig veröffentlicht werden. Die Hersteller begründen dies mit dem langwierigen Prozess, den es braucht, um für Android Sicherheitsupdates zu erstellen, da jeder Hersteller, fast beliebige Veränderungen am Betriebssystem vornehmen kann und auch bei der Wahl der Hardware frei entscheidet. HTC hat diesen Prozess in einer Grafik veranschaulicht. Dieser Prozess wird erschwert, falls der Mobilfunkanbieter weitere Anpassungen vornimmt.
Was hat sich seit Stagefright verändert?
Über ein Jahr nach der Veröffentlichung der "Stagefright"-Schwachstellen zeigt eine von Statista veröffentlichte aktuelle Statistik, dass immer noch circa 70% der auf dem Markt verbreiteten Android-Versionen älter als die am 05. Oktober 2015 veröffentlichte Version "Marshmallow 6.0" sind, die damals erste nicht von den Stagefright-Schwachstellen betroffene Version. Nur knapp 1% aller Installationen weltweit verwenden die aktuellste Version Android "Nougat" (7.0 oder 7.1). Versionen wie Andorid 4.0 "Ice Cream Sandwich" (letztes Update Februar 2012) und Android 2.3 "Gingerbread" (letztes Update September 2011) sind zwar mittlerweile fast vollständig verschwunden, aber zwischen diesen und dem aktuellen Android 7.0 "Nougat" liegen immerhin vier Android-Generationen mit den unterschiedlichsten Untermengen an Schwachstellen. Google liefert zwar noch Sicherheitsupdates bis zur Android Version 4.4.4 aus, diese müssen beim Nutzer aber auch ankommen. Welche und wieviele Geräte keine Sicherheitsupdates mehr erhalten und diese im Kontext der "Stagefright"-Schwachstellen auch nicht bekommen haben, lässt sich kaum beantworten. Es ist auch nicht zu erwarten, dass sich die Situation für diese Gerätegeneration ändert. Was aber haben die Hersteller seitdem unternommen und wie werden die Geräte der aktuellen Generation unterstützt?
Google hat den Zyklus für Android-Updates wie angekündigt geändert und stellt mittlerweile neben einer detaillierten Aufstellung der Schwachstellen auch Informationen zu den betroffenen Android-Versionen und Nexus- beziehungsweise Pixel-Geräten bereit. Zusätzlich wird auf der Support-Seite eine detaillierte Übersicht bereitgestellt, aus der hervorgeht, welches Smartphone bis zu welchem Zeitpunkt mit Android-Versionsupdates versorgt werden wird. In der Regel beträgt der Zeitraum hierfür zwei Jahre nach der ersten Veröffentlichung der Geräte.
Als Entwickler von Android hat Google den Vorteil, Software und Hardware gut aufeinander abstimmen zu können, wodurch Sicherheitsupdates und neue Android-Versionen schnell für Kunden verfügbar sind. Zudem bemüht sich Google intensiv, sämtliche Geräte-Hersteller dazu zu bewegen, die eigene Update-Politik zu übernehmen. Um es den Herstellern zu vereinfachen, unterteilt Google die Updates seit September 2016 in mindestens zwei Patch-Level, welche die Schwachstellen unterschiedlicher Kritikalität bündeln. Zudem will Google den Druck auf die Hersteller durch die Veröffentlichung einer schwarzen Liste erhöhen, in der zukünftig die Hersteller gelistet werden sollen, die am längsten für die Herausgabe von Updates benötigen.
Samsung
Samsung veröffentlicht wie angekündigt monatliche Security Maintenance Releases (SRM) für seine Geräte und stellt auf einer hierfür eingerichteten Webseite Informationen bereit, die größtenteils die Informationen von Google wiedergeben. Neben offiziellen Schwachstellenbezeichern, den sogenannten "Common Vulnerabilities and Exposures" (CVE) werden hier auch Samsung-interne Schwachstellenbezeichner, sogenannte "Samsung Vulnerabilities and Exposures" (SVE), veröffentlicht, die sich auf herstellereigene Anpassungen des Android-Programmcodes beziehen. Die SRMs versieht Samsung mit dem Hinweis "for major flagship models", ohne an dieser Stelle weiter auf Details einzugehen. Informationen dazu finden sich auf einer weiteren Webseite Hier werden zusätzlich noch ältere Geräte gelistet, die quartalsweise Sicherheitsupdates erhalten. Diese Listen werden aktualisiert, wenn der Support-Zeitraum eines Gerätes abläuft. Nähere Informationen dazu bleiben an dieser Stelle aus; ein Missstand, der schon von Verbraucherschützern kritisiert wurde.
LG
LG verteilt ebenfalls monatliche SRM's. Auf einer dazu bereitgestellten Webseite werden "LG Security Bulletins" veröffentlicht, die ähnlich zu Samsung eigene Schwachstellenbezeichner, in diesem Fall LVE's (LG Vulnerabilities and Exposures), beinhalten. Noch sparsamer informiert LG jedoch über die unterstützen Geräte. Der beigefügten Auflistung steht eine einfache Bemerkung bei:
Je nach Region und Netzbetreiber können Updates monatlich, vierteljährlich oder unregelmäßig veröffentlicht werden.
Was das im Einzelfall bedeutet, lässt sich nicht beantworten.
BlackBerry
Unter dem Namen "BlackBerry Powered by Android" vertreibt das Unternehmen Geräte mit dem Google Betriebssystem und wirbt zeitgleich damit, die sichersten Geräte im Android-Segment anzubieten. Sicherheitsupdates liefert BlackBerry für Geräte, welche über den BlackBerry Online-Shop erworben wurden fast immer zeitgleich mit Google im monatlichen Rhythmus aus und stellt diesen auch möglichst zeitnah die neuesten Android-Versionen zur Verfügung. Für die aktuellen Modelle hat BlackBerry bereits angekündigt, Android 7.0 Nougat zu verteilen.
Zwar hat BlackBerry ebenfalls angekündigt, keine weiteren Geräte mehr entwickeln zu wollen, die eigene Android-Version soll aber weiterhin gepflegt und an andere Hersteller lizenziert werden. Allerdings kann es bei Geräten, die über einen Mobilfunkbetreiber und nicht über den offiziellen BlackBerry Online-Shop erworben wurden, bei der Herausgabe der Sicherheitsupdates zu Verzögerungen kommen.
Weitere Hardware-Hersteller
Alle anderen Hersteller haben hingegen bislang keinen festen Zyklus für Sicherheitsupdates eingerichtet. Der Präsident von HTC America, Jason Mackenzie, hält dies nach eigener Aussage sogar für 'unrealistisch' und gibt zu verstehen, man würde wichtige Updates schnellstmöglich und nach Bedarf herausbringen. Dies hat HTC für die Flaggschiff-Modelle auch bislang immer eingehalten, jedoch würden feste Zusagen bei Kunden mehr Vertrauen schaffen. Motorola und SONY liefern keine Updates, sondern OS-Upgrades aus, diese auch nicht zyklisch und auch hier ausschließlich für die Flaggschiff-Modelle. So hat Motorola im Jahr 2016 in den Monaten Februar, Juli und August Updates herausgegeben, jeweils für ein anderes Gerät. Auch Huawei liefert seine Updates punktuell und nur für die Spitzenmodelle aus, allerdings gibt das Huawei Product Security Incident Response Team (PSIRT) detaillierte Informationen zu Sicherheitsupdates heraus. Ersten Ankündigungen zu Folge will Sony zukünftig ebenfalls nach Vorbild von Google monatliche Sicherheitsupdates bereitstellen, offizielle Informationen gibt es derzeit allerdings noch nicht.
CyanogenMod/LineageOS und Cyanogen OS
Bleiben Sicherheitsupdates oder neue Android-Versionen von Herstellerseite aus, haben Kunden immerhin noch die Möglichkeit ein communitybasiertes Android, das sogenannte CyanogenMod oder LineageOS, wie es seit der Projektumwandlung heißt, zu installieren. Diese Android-Variante wird von einer freien Community gepflegt und laufend mit den neusten Sicherheitsupdates versorgt. Für normale Anwender ohne technische Affinität ist diese Möglichkeit allerdings sehr schwierig umsetzbar. Eine kommerzielle Variante, welche unter dem Namen Cyanogen OS veröffentlicht werden sollte, ist vor Markteinführung eingestellt worden. Sie soll unter dem neuen Namen Cyanogen Modular OS weitergeführt werden, derzeit gibt es aber keine aktuellen Ankündigungen.
Apple
Apple liefert für sein mobiles Betriebssystem iOS stetig Sicherheitsupdates aus. Diese unterliegen zwar keinem festen Rhythmus, werden in der Regel aber spätestens alle zwei Monate veröffentlicht. Im Falle akuter Sicherheitsprobleme reagiert Apple meist sehr zeitnah, wodurch Schwachstellen schnell geschlossen werden. Bei der Bereitstellung neuer Betriebssystemversionen hat Apple seine Geräte bislang 4 Jahre und länger mit den neuesten Updates versorgt. So wurde das im Oktober 2011 veröffentlichte iPhone 4s bis zur Herausgabe von iOS 10 im September 2016 immer mit der neuen iOS-Version versorgt und auf dem aktuellen Stand gehalten. Hier spielt Apple seinen Vorteil, Hersteller von Hardware und Software zu sein, geschickt aus.
Dies spiegelt sich auch in der Verbreitung der neuen iOS-Versionen kurz nach Veröffentlichung wider, wo Apple im Vergleich mit der Verbreitung neuer Android-Versionen bislang immer führend war. Die aktuelle Marktverbreitung von iOS 10 liegt ein knappes Vierteljahr nach dessen Veröffentlichung bei 79 %, die Vorgängerversion iOS 9 liegt nur noch bei 16 % und die restlichen Vorgängerversionen teilen sich gerade einmal 5 % (Stand: 22.02.2017, Quelle), wohingegen Androids neueste Version 7.0 Nougat gerade einmal 1,2 % Marktanteil hat (Stand: 22.02.2017, Quelle). Dies liegt vor allem daran, dass Apple, anders als Google, sein Betriebssystem weder anderen Herstellern zur Verfügung stellt, noch den Mobilfunkbetreibern eigene Änderungen ermöglicht, die eine verzögernde Auswirkung auf die Herausgabe neuer Versionen oder Updates hätten.
Dies hat den iPhones den Mythos eines absolut sicheren Smartphones beschert, was von Apple-Benutzern lange Zeit als eines der Hauptargumente für iOS genannt wurde. Eine Fehlannahme, die zuletzt vor allem durch den "Pegasus"-Hack, einer Spy-Software, der es durch Ausnutzung dreier Schwachstellen in iOS möglich war, die Inhalte von Nachrichten und E-Mails mitzulesen, Passwörter zu stehlen, Anrufe zu belauschen, Tonaufzeichnungen zu machen und den Standort des Nutzers zu verfolgen, widerlegt wurde. Seit geraumer Zeit ist zu beobachten, dass sich auch im iOS-Umfeld die Anzahl aktiv ausgenutzter Schwachstellen mehrt. Die momentan noch vergleichsweise geringere Anzahl lässt sich vermutlich damit erklären, dass der Android-Markt durch die Vielzahl veralteter Versionen für Cyberkriminelle lukrativer ist.
Fazit
Die aktuelle mediale Aufarbeitung gravierender Sicherheitsmängel führt bei den Herstellern von 'Mobile Devices' zum Umdenken. Viele Hersteller haben ihr Patch-Management und dadurch auch die Reaktionszeiten bei schwerwiegenden Schwachstellen verbessert.
Schlecht bleibt im Android-Sektor weiterhin die Unterstützung alter und vor allem günstiger Geräte und die Intransparenz für Kunden. Diese können am Gerät selbst nicht erkennen, wie lange Sicherheitsupdates und neue Softwareversionen zu erwarten sind. Sicherlich liefern einige Hersteller diesbezüglich Informationen, diese sind aber auf Webseiten versteckt, deren Existenz nicht jedem Kunden bewusst sind. An dieser Stelle muss der Gesetzgeber für Klarheit sorgen und die Hersteller, ähnlich einer Gewährleistung, dazu verpflichten, Sicherheitsmängel zu beseitigen und den dafür eingeräumten Zeitraum wie beim Mindesthaltbarkeitsdatum ersichtlich auf der Verpackung eines Gerätes aufzudrucken.
Aktuell bleibt den Nutzern mobiler Geräte nichts anderes übrig, als sich vor dem Kauf eines Gerätes selbst über den derzeitigen Softwarestand sowie den Unterstützungszeitraum zu informieren, wenn denn ausreichend Informationen hierzu auffindbar sind.
