Fast drei Viertel der Android-Geräte auf den fünf größten US-Carriern laufen auf Sicherheitspatches, die mindestens zwei Monate alt sind, wodurch sie einem größeren Risiko ausgesetzt sind, gehackt zu werden. Das ergab eine Analyse, die am Donnerstag von Skycure, einem Anbieter für mobile Bedrohungsabwehr, veröffentlicht wurde.
Der Report fand auch, dass die Stadt Boston die größte Zunahme der Smartphone- und anderer drahtloser Gerätebedrohungen – einschließlich bösartiger Angriffe – unter 11 großen US-Städten hatte. Die Vorfälle in Boston stiegen im vierten Quartal 2016 um 960%. Die Analyse basiert auf Millionen von Messwerten von Netzwerksensoren, die Skycure weltweit überwacht.
Im Gegensatz zu Boston kam es in einigen Städten zu einer Abflachung der Zahl der Netzwerkzwischenfälle. San Francisco verzeichnete im vierten Quartal einen leichten Rückgang. Skycure hat nicht erklärt, warum Boston so drastisch zugenommen hat, sondern wies darauf hin, dass die Zahl der Vorfälle stark variieren kann, wobei einige Städte zunehmen, während andere ein Plateau erreichen.
Während die Analyse des Unternehmens vor allem auf Boston und andere Städte mit zunehmender Anzahl von Angriffen hinweist, nehmen die mobilen Bedrohungen generell zu. Es gibt viele Schuldzuweisungen, einschließlich der Zeit, die Mobilfunkanbieter benötigen, um Sicherheitspatches weiterzugeben, und ob Benutzer Patches rechtzeitig installieren.
Skycure fand heraus, dass 71% der Android-Geräte auf Sicherheitspatches laufen, die mindestens zwei Monate alt sind – zu alt, um als sicher angesehen zu werden. Geräte mit bekannten Schwachstellen, die nicht gepatcht sind, sind anfälliger für Verletzungen, stellte Skycure fest. Das ist derselbe Ratschlag, den viele unabhängige Sicherheits- und Mobilexperten und Analysten gegeben haben.
Diese Zahl stimmt auch mit einem Google-Sicherheitsbericht überein, wonach die Hälfte aller Android-Geräte im vergangenen Jahr kein Sicherheitsupdate erhalten hat.
Roger Entner, Analyst bei Recon Analytics, stimmte zu, dass Smartphone-Benutzer schnell Sicherheitspatches auf ihr Handy laden müssen. Viele Smartphone-Nutzer haben Computerworld per E-Mail mitgeteilt, dass Betriebssystem-Updates, manchmal einschließlich Sicherheitspatches, die Leistung ihrer Telefone verlangsamt haben und sie zögern, das Laden der Updates zu erlauben.
Aber Entner benutzte eine grobe Paraphrase eines alten Benjamin-Franklin-Aphorismus und sagte: „Wer Komfort gegen Sicherheit eintauscht, soll beides nicht haben – und das gilt für Sicherheitsupdates“. (Franklins berühmtes Sprichwort war etwas anders, aber Entners Standpunkt ist klar.)
Die Idee, dass ein Sicherheitspatch vermieden werden sollte, weil er die Leistung eines Telefons verlangsamen könnte, ist ein Trugschluss, sagte Entner in einem Interview. „Nichts ruiniert die Leistung, als wenn Spyware und Malware auf Ihrem Handy aktiv ist“, sagte Entner. „Es ist zunehmend ein realistisches Problem.“
Um sicher zu sein, erlauben viele Smartphone-Benutzer schnell Updates und Patches auf ihren Geräten, wenn sie eine Benachrichtigung erhalten, dass eines verfügbar ist. „Ich denke nicht einmal daran“, kein Update oder Patch zu machen, sagte JR Raphael, ein Blogger für Computerworld zu Android-Themen. „Auf den neuen Android-Handys ist der Prozess völlig nahtlos und weitaus weniger invasiv als früher.“
Nancy Newkirk, eine iPhone 6-Anwenderin und CIO und Vizepräsidentin für Technologie bei IDG, der Muttergesellschaft von Computerworld, sagte, dass sie alle Updates durchführt, „sobald ich sie sehe, unabhängig von Größe und Umfang. Ich habe die Beschreibung gelesen, aber mach trotzdem weiter. Dann lasse ich meine Familie wissen, ob es eine große ist, die Zeit braucht, oder eine kleine, die ziemlich schmerzlos ist, und sie warten eine Woche, um zu sehen, ob sich mein Handy lustig verhält oder kaputt geht“, bevor sie die Updates ausführen.
Ein Teil der laufenden Patches und Updates liegt nicht mehr in den Händen der Benutzer, die normalerweise darauf warten müssen, dass ihre Mobilfunkanbieter Patches testen, über die sie von Telefonanbietern oder Sicherheitsexperten erfahren haben.
„Wir alle können unsere mobilen Geräte besser sichern – Hersteller, Carrier und Anwender“, sagt Varun Kohli, Vice President of Marketing bei Skycure. Er sagte, dass Benutzer manchmal Patches für ihre Handys vermeiden, weil sie Bedenken hinsichtlich der Leistung haben. Aber oft wissen Benutzer nicht, dass es einen Patch gibt oder sie haben ein älteres Telefon, das den neuesten Patch nicht unterstützt.
Die meisten der Sicherheitspatches, die Skycure in seiner globalen Analyse entdeckt hat, waren nicht groß genug, um die Leistung eines Telefons zu beeinflussen, sagte Kohli. Ein Patch wird im Allgemeinen als kleine Änderung an einem Betriebssystem angesehen, das einen oder mehrere spezifische Fehler oder Löcher behebt oder Unterstützung für neue Hardware oder eine Konfiguration hinzufügt, ohne neue Funktionen oder Funktionen hinzuzufügen, sagte er. Sie werden als „Point-Releases“ ausgeliefert, während Updates zusätzliche Funktionalität bieten.
Apple bezeichnet seine Updates nicht generell als Patches, wie es bei Android der Fall ist. Google begann Ende 2015 nach der Entdeckung der Stagefright-Schwachstelle mit der Veröffentlichung monatlicher Android-Sicherheitspatches. „Wir empfehlen dringend, jedes Android-Gerät zu patchen, sobald jeder Sicherheitspatch verfügbar ist, da sie alle neu entdeckten Schwachstellen beheben, die böswillige Angreifer bei der Ausnutzung nicht gepatchter Geräte nutzen können“, fügte Kohli hinzu.
Die Analyse von Skycure ermöglichte es dem Unternehmen, Android-Geräte im Januar 2017 zu analysieren, um das Alter der Sicherheitspatches zu bestimmen, die auf Handys geladen wurden.
„Der neueste Sicherheitspatch wurde nur von einem sehr kleinen Prozentsatz der Bevölkerung angenommen, da er gerade erst veröffentlicht wurde, aber AT&T-Benutzer waren bis zu 10 Mal wahrscheinlicher, dass dieser neueste Patch bereits installiert war“, so der Bericht von Skycure.
Die anderen von Skycure bewerteten Carrier waren Verizon, Sprint, T-Mobile und MetroPCS. Skycure bot keine Erklärung dafür, warum so viele AT&T-Benutzer den neuesten Patch geladen haben.
Im Allgemeinen empfiehlt Skycure zusammen mit anderen Sicherheitsexperten den Anwendern das Update auf den neuesten Patch, sobald dieser verfügbar ist. Das Unternehmen riet auch, nur Apps von vertrauenswürdigen First-Party-App-Stores herunterzuladen und eine Verbindung zu verdächtigen freien Wi-Fi-Netzwerken zu vermeiden.
Skycure bietet, wie viele andere Unternehmen auch, eine kostenlose Threat Defense App namens Skycure sowohl im App Store als auch bei Google Play an. Das Unternehmen bietet Enterprise Skycure Sicherheitssoftware als Service ab weniger als $8 pro Gerät und Monat an.
Sogar mit solchen Verteidigungen, sagte Newkirk, dass Telefonbenutzer ihre lebenswichtigen persönlichen Daten, wie Videos und Fotos sichern müssen, falls ihr Telefon verloren oder gestohlen wird oder in einer Weise angegriffen wird, die es sperrt oder den Zugang zu Daten unmöglich macht.