Abo
  • Services:
Anzeige
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Browsersicherheit: Google spielt Webview-Sicherheitslücke herunter

Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Google hat sich erstmals öffentlich zu den elf Sicherheitslücken in der Android-Komponente Webview geäußert. Das Unternehmen spielt das Problem herunter und empfiehlt den Einsatz alternativer Browser - das hilft aber nur begrenzt.

Anzeige

Fast zwei Wochen hat sich Google Zeit gelassen, bis das Unternehmen darauf reagiert, dass derzeit mehr als 60 Prozent der Android-Geräte elf offene Sicherheitslücken aufweisen. Adrian Ludwig, Mitarbeiter in Googles Android-Sicherheitsteam, empfiehlt in einem Google-+-Posting Besitzern betroffener Geräte den Einsatz alternativer Browser. Als Beispiele nennt er den Chrome-Browser und Mozillas Firefox-Browser. Beide Browser setzen nicht auf die im Betriebssystem enthaltene Browser-Engine. Das hilft allerdings nicht, wenn eine App die verwundbare Webview-Komponente verwendet.

Elf Sicherheitslücken in Webview

Mitte Januar 2015 hatte der Sicherheitsexperte Tod Beardsley berichtet, dass die Android-Komponente Webview in älteren Versionen des Mobilbetriebssystems nicht mehr mit Sicherheitspatches versehen wird. In Webview befinden sich derzeit allerdings elf offene Sicherheitslücken. Das betrifft alle Android-Versionen kleiner als 4.4 und damit aktuell 60,9 Prozent aller in Betrieb befindlichen Android-Geräte. Außer im Browser wird Webview auch von Apps verwendet, so dass die Geräte auch darüber angreifbar sind.

Mit Android 4.4 alias Kitkat wurde Webview durch das entsprechende Chrome-Pendant ersetzt. Google wird Sicherheitspatches für diese Komponente nur noch für Android 4.4 und neuere Versionen anbieten. Derzeit gehört dazu noch Android 5.0 alias Lollipop, das aber noch für kaum ein Smartphone oder Tablet angeboten wird.

Supportzeitraum genügt nicht

Im Beitrag von Ludwig wird das Problem heruntergespielt, er geht nicht darauf ein, dass die Mehrzahl der Geräte noch nicht mit Android 4.4 und schon gar nicht mit Android 5.0 läuft und weiterhin entsprechend verwundbar ist. Im Beitrag geht es vor allem darum, dass sich mit Android 4.4 viel zum Besseren gewandelt hat - aber die meisten Nutzer haben diese Version nach wie vor nicht vom Gerätehersteller erhalten. Ludwig betont zwar, dass mindestens die beiden letzten aktuellen Android-Versionen Updates erhalten, aber das ist aktuell gerade mal das Minimum - denn Android 4.3 fällt da schon raus.

Er verweist außerdem darauf, dass Webview älter als zwei Jahre ist. Allerdings erschien Android 4.3 im Juli 2013, das Betriebssystem wird also diesbezüglich nach 1,5 Jahren schon keine Sicherheitsupdates mehr von Google erhalten. Wird berücksichtigt, dass abseits der Nexus-Linie erste Geräte mit Android 4.3 erst zum Jahresende 2013 auf den Markt kamen, so verkürzt sich die Updatezeitspanne sogar auf etwas mehr als ein Jahr.

Noch Ende 2014 kamen neue Android-Geräte auf den Markt, die mit Android 4.3 oder einer älteren Version laufen. Und bis zum Frühjahr 2014 galt das sogar für die meisten Neuvorstellungen. Ist für die Geräte kein Update auf Android 4.4 erschienen, sind sie bezüglich der Sicherheit schon nach weniger als einem Jahr nicht mehr aktuell.

Google gibt Verantwortung an App-Entwickler ab

Ludwig fordert in seinem Beitrag außerdem, dass Entwickler eine eigene Webview-Komponente verwenden, wenn sie Apps anbieten, die auf älteren Android-Vesionen als 4.4 laufen. Denn Google aktualisiert die Komponente nicht, so dass App-Entwickler hier selbst nach passenden Lösungen suchen müssen. Für Anwender stellt sich dabei das Problem, dass sie nicht ohne weiteres herausfinden können, welche Android-App intern Webview verwendet.


eye home zur Startseite
Ried Bürger 02. Feb 2015

Zum Einmarsch des Büttenredners die Melodie von Gute Nacht Freunde, wie...

M. 28. Jan 2015

Nein. Mal abgesehen davon dass Google Lücken in Chrome und Android sehr schnell fixt...

M. 27. Jan 2015

Upgrades sicher nicht, Updates vielleicht (wobei das bei Android auf dasselbe...

nille02 27. Jan 2015

Es ist ein Unterschied ob es einen Fix gibt den ich selber einspielen muss, oder ob es...

Klau3 26. Jan 2015

Da Google scheinbar die Lücke nicht patchen kann und die Anwender/Entwickler nicht im...



Anzeige

Stellenmarkt
  1. Wirecard Technologies GmbH, Aschheim bei München
  2. Robert Bosch GmbH, Leonberg
  3. Daimler AG, Leinfelden-Echterdingen
  4. GEUTEBRÜCK, Windhagen


Anzeige
Spiele-Angebote
  1. 14,90€
  2. 34,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  2. USA

    Samsung will Note 7 in Backsteine verwandeln

  3. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  4. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  5. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  6. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  7. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  8. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  9. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  10. Kein Internet

    Nach Windows-Update weltweit Computer offline



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Industrial Light & Magic: Wenn King Kong in der Renderfarm wütet
Industrial Light & Magic
Wenn King Kong in der Renderfarm wütet
  1. Streaming Netflix-Nutzer wollen keine Topfilme
  2. Videomarkt Warner Bros. kauft Machinima
  3. Video Twitter verkündet Aus für Vine-App

Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

  1. Re: was soll immer diese schwachsinnige Asymmetrie...

    GodFuture | 00:58

  2. Re: Diese ganzen angeblichen F2P sollte man...

    Lasse Bierstrom | 00:58

  3. Re: Uuund raus

    Bessunger | 00:58

  4. Re: 2-Faktor-Authentifizierung ist die Antithese...

    Bessunger | 00:55

  5. Das Ultimative Update

    ED_Melog | 00:45


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel