2 Min Lesezeit

Google verweigert WebView-Patches und gefährdet so 900 Millionen Android-Smartphones

Bitdefender

Februar 04, 2015

Promo Ein Produkt zum Schutz aller Geräte - ohne Performance-Einbußen.
30 Tage kostenfrei testen
Google verweigert WebView-Patches und gefährdet so 900 Millionen Android-Smartphones

Für Android 4.3 (Jellybean) und alle Vorgängerversionen gibt es leider schlechte Nachrichten: Google wird Ihnen in Zukunft keine Sicherheitsupdates für WebView mehr bereitstellen. Dabei handelt es sich um eine wichtige Komponente des Android-Betriebssystems, die für die Darstellung von Webseiten benötigt wird.

WebView macht es möglich, dass Sie auf Android-Geräten Webseiten anzeigen können, ohne dafür einen Browser öffnen zu müssen. Werden die Sicherheitslücken in WebView also nicht behoben, könnte Ihr Gerät beim öffnen einer manipulierten Website zum Ziel eines Drive-by-Download-Angriffs werden.

Ist es also von Bedeutung, dass Google keine WebView-Patches für ältere Android-Versionen mehr veröffentlicht?

Auf jeden Fall. Es reicht der Blick auf dieses Diagramm: Googles eigene Erhebungen zeigen, dass die Mehrzahl der Android-Geräte (rund 60 %) von der Schwachstelle betroffen ist, weil ihre Android-Version aus der Zeit vor KitKat stammt.

Ab Android 4.4 (KitKat) hat Google auf eine Chromium-basierte WebView-Version umgestellt, die auch weiterhin aktualisiert wird.

Tod Beardsley, leitender Ingenieur bei Rapid7, machte Googles befremdliche Entscheidung, WebView auf Android 4.3 und früheren Versionen nicht mehr zu aktualisieren, öffentlich.

Nachdem Beardsley Googles Sicherheitsteam über eine neu entdeckte WebView-Schwachstelle in den Vorgängerversionen von Android 4.4 informiert hatte, wurde ihm folgendes mitgeteilt:

„Wenn die betroffene [WebView-]Version eine vor 4.4 ist, entwickeln wir grundsätzlich keine eigenen Patches, freuen uns jedoch über Patches, die uns zur Prüfung vorgelegt werden. Außer der Benachrichtigung der OEMs können wir keine weiteren Schritte einleiten, wenn Berichte, die Versionen vor 4.4 betreffen, nicht von einem Patch begleitet werden.“

Natürlich ist es keine einfache Sache, Support und Updates für Geräte bereitzustellen, deren Betriebssystem bereits veraltet ist. Bedenkt man aber, dass mehr als 900 Millionen Geräte davon betroffen sind und auch weiterhin Smartphones und Tablets mit älteren Betriebssystemversionen verkauft werden, lässt Google mit dieser Entscheidung sehr viele Menschen im Stich.

Denn für alle, die wirklich Wert auf Sicherheit legen, gibt es im Grunde genommen nur die Optionen entweder selbst ein Patch für die Schwachstelle zu erstellen (über deren Erhalt Google sich offensichtlich sehr freuen würde), ein neues Smartphone zu kaufen oder auf eine neue Plattform wie zum Beispiel iOS zu wechseln.

Die Situation ist äußerst besorgniserregend und Beardsley hofft, dass Google diesen Schritt noch einmal überdenken wird:

„Die Google-Ingenieure sind häufig die besten in vielen Bereichen, darunter auch die Weiterentwicklung des Android-Betriebssystems; dass sie nun hier der Sicherheitsfrage einfach den Rücken zukehren ist sehr bedenklich … Ich hoffe, Google wird diese Entscheidung überdenken, falls (wenn) die nächste datenschutzrelevante Schwachstelle öffentlich wird.“

Für mich persönlich liegt hier die Ironie darin, dass Google erst kürzlich selbst Kritik an Microsoft geäußert hatte, weil ein Sicherheitspatch nicht in der gewünschten Geschwindigkeit geliefert wurde, während man selbst jegliche Pläne, *jemals wieder* WebView-Patches für mehr als 900 Millionen Android-Geräte zu veröffentlichen, schon längst beerdigt hatte.

Bei Google sollte man vor der eigenen Haustür kehren. Wer im Glashaus sitzt, sollte nicht mit Steinen werfen, und zeigen, dass man auch die Sicherheit derer garantiert, die Geräte mit Android-Versionen bis 4.3 gekauft haben bzw. immer noch kaufen.

rn

tags


Autor


Bitdefender

The meaning of Bitdefender’s mascot, the Dacian Draco, a symbol that depicts a mythical animal with a wolf’s head and a dragon’s body, is “to watch” and to “guard with a sharp eye.”

Alle Beiträge sehen

Das könnte Sie auch interessieren

Bookmarks


loader