Vorinstallierte Apps sind den meisten Nutzern bekanntermaßen ein Dorn im Auge. Besonders tragisch ist daran, dass diese Anwendungen unter Android Sicherheitslücken verursachen können. Eine Sicherheitsfirma hat nun eine Liste mit 146 Schwachpunkten veröffentlicht, die auf Android-Smartphones von 29 Herstellern ab Werk vorhanden sein sollen.
Kryptowire habe die Sicherheitslücken einem Bericht von Wired zufolge mit einem neu entwickelten Tool feststellen können. Die Software ermögliche es, die Firmware eines Smartphones auf Schwachstellen zu untersuchen, ohne das Gerät dafür vor Ort haben zu müssen. Das Ergebnis ist ernüchternd. Zwar stammen einige der betroffenen Modelle von asiatischen Herstellern, die hierzulande eher selten anzutreffen sind. Doch auch einige Smartphones von großen Anbietern wie Samsung, Asus und Sony sind betroffen.
Auch beliebte Samsung-Modelle betroffen
Zu den potentiell gefährdeten Samsung-Smartphones zählen so zum Beispiel beide Varianten des Galaxy S7, das XCover 4, die Galaxy J-Modelle 3,4,5,6, 7 Neo, 7 Max und 7 Pro und mehrere Galaxy A-Modelle von 2017. Zu Letzteren zählen die Ausführungen Galaxy A3, A5, A7 und A8+. Auf Seiten Sonys ist beispielsweise das ehemalige Flaggschiff-Smartphone Xperia XZs betroffen. Die vollständige Liste mit Gerätebezeichnungen, Beschreibung der Schwachstelle und betroffener Android-Version könnt ihr auf der Webseite von Kryptowire einsehen.
Wie wir der Liste entnehmen können, entdeckte das Tool der Sicherheitsexperten vor allem in Smartphones von 2017 Sicherheitslecks – und damit kommen wir zu einem altbekannten Problem. Nicht etwa die alte Hardware sorgt für Schwachstellen, sondern der fehlende Software-Support. Gerade Einsteiger- und Mittelklasse-Geräten erhalten häufig nur ein großes Android-Update. Kleinere Sicherheitsupdates, die womöglich noch kommen, beschränken sich auf bestimmte Bereiche. Schwachstellen, wie die in vorinstallierten Apps von Drittanbietern, bestehen ab Werk und bleiben erhalten.
Nicht alle Android-Hersteller einsichtig
Dem Bericht zufolge gab Kryptowire seine Erkenntnisse bereits im Sommer 2019 an Google und die Hersteller der betroffenen Geräte weiter. Google habe sich für den Input und die Hilfe bei der Weiterentwicklung und Absicherung des Android-Systems bedankt. Samsung verwies die Experten in zwei Fällen, die mit unsicheren aber von Samsung vorinstallierten Drittanbieter-Apps zu tun haben, an deren Entwickler. Die übrigen Lücken seien dem Unternehmen zufolge bereits ausreichend abgesichert.
Dies klingt ein wenig, als hätte der Hersteller dabei aktuellere Android-Versionen als Android 8.1 Oreo im Sinn gehabt. Zumindest sind in der Übersicht von Kryptowire keine Geräte zu finden, die mit Android 9 oder sogar Android 10 laufen. Galaxy-S7-Besitzer können immerhin noch hoffen, ein paar Sicherheitsupdates zu erhalten. Nutzer von Geräten kleinerer Hersteller mit weniger Ressourcen zur Entwicklung von Updates haben hier womöglich noch schlechtere Karten.