Abo
  • Services:
Anzeige
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Browsersicherheit: Google spielt Webview-Sicherheitslücke herunter

Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Google hat sich erstmals öffentlich zu den elf Sicherheitslücken in der Android-Komponente Webview geäußert. Das Unternehmen spielt das Problem herunter und empfiehlt den Einsatz alternativer Browser - das hilft aber nur begrenzt.

Anzeige

Fast zwei Wochen hat sich Google Zeit gelassen, bis das Unternehmen darauf reagiert, dass derzeit mehr als 60 Prozent der Android-Geräte elf offene Sicherheitslücken aufweisen. Adrian Ludwig, Mitarbeiter in Googles Android-Sicherheitsteam, empfiehlt in einem Google-+-Posting Besitzern betroffener Geräte den Einsatz alternativer Browser. Als Beispiele nennt er den Chrome-Browser und Mozillas Firefox-Browser. Beide Browser setzen nicht auf die im Betriebssystem enthaltene Browser-Engine. Das hilft allerdings nicht, wenn eine App die verwundbare Webview-Komponente verwendet.

Elf Sicherheitslücken in Webview

Mitte Januar 2015 hatte der Sicherheitsexperte Tod Beardsley berichtet, dass die Android-Komponente Webview in älteren Versionen des Mobilbetriebssystems nicht mehr mit Sicherheitspatches versehen wird. In Webview befinden sich derzeit allerdings elf offene Sicherheitslücken. Das betrifft alle Android-Versionen kleiner als 4.4 und damit aktuell 60,9 Prozent aller in Betrieb befindlichen Android-Geräte. Außer im Browser wird Webview auch von Apps verwendet, so dass die Geräte auch darüber angreifbar sind.

Mit Android 4.4 alias Kitkat wurde Webview durch das entsprechende Chrome-Pendant ersetzt. Google wird Sicherheitspatches für diese Komponente nur noch für Android 4.4 und neuere Versionen anbieten. Derzeit gehört dazu noch Android 5.0 alias Lollipop, das aber noch für kaum ein Smartphone oder Tablet angeboten wird.

Supportzeitraum genügt nicht

Im Beitrag von Ludwig wird das Problem heruntergespielt, er geht nicht darauf ein, dass die Mehrzahl der Geräte noch nicht mit Android 4.4 und schon gar nicht mit Android 5.0 läuft und weiterhin entsprechend verwundbar ist. Im Beitrag geht es vor allem darum, dass sich mit Android 4.4 viel zum Besseren gewandelt hat - aber die meisten Nutzer haben diese Version nach wie vor nicht vom Gerätehersteller erhalten. Ludwig betont zwar, dass mindestens die beiden letzten aktuellen Android-Versionen Updates erhalten, aber das ist aktuell gerade mal das Minimum - denn Android 4.3 fällt da schon raus.

Er verweist außerdem darauf, dass Webview älter als zwei Jahre ist. Allerdings erschien Android 4.3 im Juli 2013, das Betriebssystem wird also diesbezüglich nach 1,5 Jahren schon keine Sicherheitsupdates mehr von Google erhalten. Wird berücksichtigt, dass abseits der Nexus-Linie erste Geräte mit Android 4.3 erst zum Jahresende 2013 auf den Markt kamen, so verkürzt sich die Updatezeitspanne sogar auf etwas mehr als ein Jahr.

Noch Ende 2014 kamen neue Android-Geräte auf den Markt, die mit Android 4.3 oder einer älteren Version laufen. Und bis zum Frühjahr 2014 galt das sogar für die meisten Neuvorstellungen. Ist für die Geräte kein Update auf Android 4.4 erschienen, sind sie bezüglich der Sicherheit schon nach weniger als einem Jahr nicht mehr aktuell.

Google gibt Verantwortung an App-Entwickler ab

Ludwig fordert in seinem Beitrag außerdem, dass Entwickler eine eigene Webview-Komponente verwenden, wenn sie Apps anbieten, die auf älteren Android-Vesionen als 4.4 laufen. Denn Google aktualisiert die Komponente nicht, so dass App-Entwickler hier selbst nach passenden Lösungen suchen müssen. Für Anwender stellt sich dabei das Problem, dass sie nicht ohne weiteres herausfinden können, welche Android-App intern Webview verwendet.


eye home zur Startseite
Ried Bürger 02. Feb 2015

Zum Einmarsch des Büttenredners die Melodie von Gute Nacht Freunde, wie...

M. 28. Jan 2015

Nein. Mal abgesehen davon dass Google Lücken in Chrome und Android sehr schnell fixt...

M. 27. Jan 2015

Upgrades sicher nicht, Updates vielleicht (wobei das bei Android auf dasselbe...

nille02 27. Jan 2015

Es ist ein Unterschied ob es einen Fix gibt den ich selber einspielen muss, oder ob es...

Klau3 26. Jan 2015

Da Google scheinbar die Lücke nicht patchen kann und die Anwender/Entwickler nicht im...



Anzeige

Stellenmarkt
  1. Daimler AG, Neu-Ulm
  2. über 3C - Career Consulting Company GmbH, Aachen, Berlin, München
  3. Optica Abrechnungszentrum Dr. Güldener GmbH, Olpe
  4. WEGMANN automotive GmbH & Co. KG, Veitshöchheim


Anzeige
Top-Angebote
  1. 199,00€
  2. 0,90€
  3. 3 Monate gratis testen, danach 70€ pro Jahr

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von Bitdefender
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Containerverwaltung

    Docker für Mac und Windows ist einsatzbereit

  2. Drosselung

    Telekom schafft wegen intensiver Nutzung Spotify-Option ab

  3. Quantenkrytographie

    Chinas erster Schritt zur Quantenkommunikation per Satellit

  4. Sony

    Absatz der Playstation 4 weiter stark

  5. Gigafactory

    Teslas Gigantomanie in Weiß und Rot

  6. Cloud-Speicher

    Amazon bietet unbegrenzten Speicherplatz für 70 Euro im Jahr

  7. Rechtsstreit

    Nvidia zahlt 30 US-Dollar für 512 MByte

  8. Formel E

    Die Elektrorenner bekommen einen futuristischen Frontflügel

  9. Familienmediathek

    Google lässt gekaufte Play-Store-Inhalte teilen

  10. Nokia

    Microsoft weitet Massenentlassungen in Smartphone-Sparte aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte
  1. Killerspiel-Debatte ProSieben Maxx stoppt Übertragungen von Counter-Strike

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Keysniffer Millionen kabellose Tastaturen senden Daten im Klartext
  2. Tor Hidden Services Über 100 spionierende Tor-Nodes
  3. Pilotprojekt EU will Open Source sicherer machen

Core i7-6820HK: Das bringt CPU-Overclocking im Notebook
Core i7-6820HK
Das bringt CPU-Overclocking im Notebook
  1. Stresstest Futuremarks 3DMark testet Hardware auf Throttling

  1. Re: hahaha

    DragonHunter | 14:01

  2. Re: Docker für Windows auch für normale Anwender...

    DanielSchulz | 13:59

  3. Re: Achtung! Kunde droht mit Auftrag

    ZwischendenZeil... | 13:59

  4. Re: Unbegrenzt ist relativ

    /mecki78 | 13:59

  5. Re: 59 USD werden zu 70 Euro

    schachbrett | 13:58


  1. 13:00

  2. 12:28

  3. 12:19

  4. 12:16

  5. 12:01

  6. 11:39

  7. 11:23

  8. 11:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel