Es gibt ungefähr 12.000 verschiedene Android-Handys und Android-Tablets auf der Welt, mindestens acht Versionen des Betriebssystems werden bis heute genutzt. Diese Fragmentierung zeigt, wie beliebt das Betriebssystem von Google bei den Hardware-Herstellern ist. Um sich von der Masse abheben zu können, modifizieren Unternehmen wie Samsung, HTC und Sony das System. Sie geben ihm neue Oberflächen und eigene Apps. Das ist ein Sicherheitsproblem, sagen Forscher.

Xuxian Jiang, Lei Wu, Michael Grace, Yajin Zhou und Chiachih Wu vom Department of Computer Science der North Carolina State University haben festgestellt, dass durch die Verschönerungsmaßnahmen der Hersteller auch die Zahl der Sicherheitslücken steigt. "Mehr Code bringt mehr Fehler", sagt Chiachih Wu, der die Studie am Mittwoch bei der ACM Conference on Computer and Communications Security in Berlin vorstellte.

In einer Studie untersuchten die Forscher zehn Android-Smartphones von fünf verschiedenen Herstellern: je ein neues und ein altes Modell von Samsung, HTC, Sony und LG mit angepasstem Android sowie zwei Nexus-Modelle von Google. Google verkauft die Geräte der Nexus-Reihe mit einer unveränderten Version von Android.

Genauer gesagt untersuchten die Sicherheitsforscher die Apps, die vorab auf den Geräten installiert waren. Dazu unterteilten sie diese in drei Kategorien: Erstens Apps, die im Rahmen des Android Open Source Project (AOSP) entwickelt wurden und in gleicher Form auf vielen Android-Geräten eingesetzt werden. Zweitens Apps, die nur vom jeweiligen Hardware-Hersteller verwendet werden und drittens Apps von externen Anbietern wie zum Beispiel Facebook, die ein Hardware-Hersteller in sein Produkt als Dreingabe einbaut. Insgesamt kamen so mehr als 1.500 unterschiedliche Programme zusammen.

All diese Apps wurden auf Schwachstellen und auf unnötige Berechtigungen untersucht. Unnötige Berechtigungen bedeutet: Die App greift auf Daten des Smartphones zu, die sie zum Funktionieren gar nicht braucht. Überpriviligiert werden solche Apps genannt.

Die Ergebnisse: 85 Prozent aller Apps sind überpriviligiert. Ein Sicherheitsproblem ist das allerdings erst dann, wenn der App-Anbieter diese Daten abgreift, um sie zum Beispiel weiterzuverkaufen.

Schwerwiegender ist, dass alle zehn Smartphones Schwachstellen haben, die allein aus den vorinstallierten Apps resultieren. Bei Android in der älteren Version 2.x sind es im Schnitt rund 22 Sicherheitslücken pro Gerät. Bei neueren Android-Versionen (4.x) sind es immer noch rund 18 Schwachstellen. Beim Samsung Galaxy S3 sind es sogar 40, beim nicht modifizierten Nexus 4 dagegen nur drei.