Google lässt Sicherheitslücke in Android offen – 60 % aller Anwender betroffen

Sicherheit von Android

Eine Sicherheitslücke in der Webbrowser-Komponente von Android Version 4.3 (KitKat) und älter, wird von Google nicht mehr behoben. Betroffen sind rund 60 % aller Anwender.

Sicherheitslücke in WebView-Komponente
Die bekannt gewordene Sicherheitslücke betrifft Android in der Version 4.3 und älter. Ein Schwachpunkt in der vom Google-Standardbrowser verwendeten WebView-Technologie erlaubt es zum Beispiel Angreifern, Daten die der Anwender bei anderen Webseiten gespeichert hat, abzugreifen.
Erkennbar ist der betroffene Webbrowser an dem blauen Weltkugel-Icon. Aber auch andere Apps können betroffen sein, sofern sie intern auf die unsichere WebView-Komponente zurückgreifen, beispielsweise zur Anzeige von HTML-Dokumenten oder Werbebannern. Google selbst gibt die aktuellen Nutzerzahlen mit 60 % Prozent der Anwender an, die noch Android 4.3 und älter einsetzen. Somit sind Millionen von Nutzern bedroht.
Mit Version 4.4 und höher wurde der Browser von Google ausgetauscht. WebView existiert zwar weiterhin, die Sicherheitslücke soll dort aber nicht mehr auftreten.

Google will kein Update herausbringen
Mit dem Blogeintrag des Google-Entwicklers Adrian Ludwig hat sich nun ein Mitarbeiter des Suchmaschinen-Riesen zur Problematik geäußert. Für die älteren WebView-Versionen sind trotz der hohen Zahl betroffener Anwender keine Updates vorgesehen. Begründet wird dies damit, dass die Zahl der betroffenen Nutzer durch Upgrades der Hardware und des Betriebssystems stetig sinke. Außerdem könne man eine über 2 Jahre alte Softwarekomponente, die mehr als 5 Millionen Zeilen Quelltext umfasst, nicht mehr ohne weiteres anpassen.
Stattdessen empfiehlt Adrian Ludwig, auf Chrome oder Firefox als Browser umzusteigen. Das Problem mit Apps von Drittherstellern, die intern ebenfalls WebView einsetzen, wird dadurch jedoch nicht gelöst.
In neueren Android-Versionen werden Updates für WebView direkt über den Play-Store ausgeliefert werden somit unabhängig von Geräteherstellern und Betriebssystem-Updates auf aktuellem Stand gehalten.

Update-Strategien von Geräteherstellern
Neben vielen verärgerten Benutzern, die sich nun zum Kauf eines neuen Smartphones oder Tablets gezwungen sehen (oder mit dieser und zukünftigen Sicherheitsproblemen leben müssen), wird nun auch wieder die Update-Strategie der Hardwarelieferanten diskutiert.
Android-Geräte werden häufig gar nicht oder nur für einen kurzen Zeitraum nach dem Kauf mit Updates versorgt. Für die Anwender ist dies besonders ärgerlich, da man für aktuelle Features regelmäßig neue Geräte kaufen muss.

1 Kommentar » Schreibe einen Kommentar

  1. Ich finde auffällig, dass derartige Meldungen immer im Rahmen eines neuen Android-Release, in dem Fall 5.0, lanciert werden…..

Hinterlasse eine Antwort

Pflichtfelder sind mit * markiert.


Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>