Anzeige
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Browsersicherheit: Google spielt Webview-Sicherheitslücke herunter

Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Google hat sich erstmals öffentlich zu den elf Sicherheitslücken in der Android-Komponente Webview geäußert. Das Unternehmen spielt das Problem herunter und empfiehlt den Einsatz alternativer Browser - das hilft aber nur begrenzt.

Anzeige

Fast zwei Wochen hat sich Google Zeit gelassen, bis das Unternehmen darauf reagiert, dass derzeit mehr als 60 Prozent der Android-Geräte elf offene Sicherheitslücken aufweisen. Adrian Ludwig, Mitarbeiter in Googles Android-Sicherheitsteam, empfiehlt in einem Google-+-Posting Besitzern betroffener Geräte den Einsatz alternativer Browser. Als Beispiele nennt er den Chrome-Browser und Mozillas Firefox-Browser. Beide Browser setzen nicht auf die im Betriebssystem enthaltene Browser-Engine. Das hilft allerdings nicht, wenn eine App die verwundbare Webview-Komponente verwendet.

Elf Sicherheitslücken in Webview

Mitte Januar 2015 hatte der Sicherheitsexperte Tod Beardsley berichtet, dass die Android-Komponente Webview in älteren Versionen des Mobilbetriebssystems nicht mehr mit Sicherheitspatches versehen wird. In Webview befinden sich derzeit allerdings elf offene Sicherheitslücken. Das betrifft alle Android-Versionen kleiner als 4.4 und damit aktuell 60,9 Prozent aller in Betrieb befindlichen Android-Geräte. Außer im Browser wird Webview auch von Apps verwendet, so dass die Geräte auch darüber angreifbar sind.

Mit Android 4.4 alias Kitkat wurde Webview durch das entsprechende Chrome-Pendant ersetzt. Google wird Sicherheitspatches für diese Komponente nur noch für Android 4.4 und neuere Versionen anbieten. Derzeit gehört dazu noch Android 5.0 alias Lollipop, das aber noch für kaum ein Smartphone oder Tablet angeboten wird.

Supportzeitraum genügt nicht

Im Beitrag von Ludwig wird das Problem heruntergespielt, er geht nicht darauf ein, dass die Mehrzahl der Geräte noch nicht mit Android 4.4 und schon gar nicht mit Android 5.0 läuft und weiterhin entsprechend verwundbar ist. Im Beitrag geht es vor allem darum, dass sich mit Android 4.4 viel zum Besseren gewandelt hat - aber die meisten Nutzer haben diese Version nach wie vor nicht vom Gerätehersteller erhalten. Ludwig betont zwar, dass mindestens die beiden letzten aktuellen Android-Versionen Updates erhalten, aber das ist aktuell gerade mal das Minimum - denn Android 4.3 fällt da schon raus.

Er verweist außerdem darauf, dass Webview älter als zwei Jahre ist. Allerdings erschien Android 4.3 im Juli 2013, das Betriebssystem wird also diesbezüglich nach 1,5 Jahren schon keine Sicherheitsupdates mehr von Google erhalten. Wird berücksichtigt, dass abseits der Nexus-Linie erste Geräte mit Android 4.3 erst zum Jahresende 2013 auf den Markt kamen, so verkürzt sich die Updatezeitspanne sogar auf etwas mehr als ein Jahr.

Noch Ende 2014 kamen neue Android-Geräte auf den Markt, die mit Android 4.3 oder einer älteren Version laufen. Und bis zum Frühjahr 2014 galt das sogar für die meisten Neuvorstellungen. Ist für die Geräte kein Update auf Android 4.4 erschienen, sind sie bezüglich der Sicherheit schon nach weniger als einem Jahr nicht mehr aktuell.

Google gibt Verantwortung an App-Entwickler ab

Ludwig fordert in seinem Beitrag außerdem, dass Entwickler eine eigene Webview-Komponente verwenden, wenn sie Apps anbieten, die auf älteren Android-Vesionen als 4.4 laufen. Denn Google aktualisiert die Komponente nicht, so dass App-Entwickler hier selbst nach passenden Lösungen suchen müssen. Für Anwender stellt sich dabei das Problem, dass sie nicht ohne weiteres herausfinden können, welche Android-App intern Webview verwendet.


eye home zur Startseite
Ried Bürger 02. Feb 2015

Zum Einmarsch des Büttenredners die Melodie von Gute Nacht Freunde, wie...

M. 28. Jan 2015

Nein. Mal abgesehen davon dass Google Lücken in Chrome und Android sehr schnell fixt...

M. 27. Jan 2015

Upgrades sicher nicht, Updates vielleicht (wobei das bei Android auf dasselbe...

nille02 27. Jan 2015

Es ist ein Unterschied ob es einen Fix gibt den ich selber einspielen muss, oder ob es...

Klau3 26. Jan 2015

Da Google scheinbar die Lücke nicht patchen kann und die Anwender/Entwickler nicht im...

Kommentieren



Anzeige

  1. Java Software-Entwickler (m/w)
    Clausohm-Software GmbH, Neverin, Berlin, Aachen
  2. Projektmanager / Berater (m/w)
    [bu:st] GmbH, München
  3. Senior Expert Portfolio Management (m/w)
    T-Systems International GmbH, Bonn, Darmstadt, Mülheim an der Ruhr
  4. Projektingenieur MES (m/w)
    Roche Diagnostics GmbH, Mannheim

Detailsuche



Anzeige
Top-Angebote
  1. NUR FÜR KURZE ZEIT: LG 27MU67-B UHD-Monitor + The Division
    403,95€ inkl. Versand (Vergleichspreise ab ca. 457€ - Solange der Vorrat reicht)
  2. NUR FÜR KURZE ZEIT: Corsair CML16GX3M2A1600C9 16-GB-DDR3-Kit
    59,90€ inkl. Versand (Vergleichspreise ab ca. 67€ - Solange der Vorrat reicht)
  3. NUR BIS SONNTAG: 10 Blu-rays für 50 EUR
    (u. a. Indiana Jones, Lucy, Jack Reacher, Cooties, Airport, Big Jake)

Weitere Angebote


Folgen Sie uns
       


  1. Ultra Compact Network

    Nokia baut LTE-Station als Rucksacklösung

  2. Juniper EX2300-C-12T/P

    Kompakt, lüfterlos und mit 124 Watt Powerbudget

  3. Vorratsdatenspeicherung

    Alarm im VDS-Tresor

  4. Be Quiet Silent Loop

    Sei leise, Wasserkühlung!

  5. Kryptowährung

    Australische Behörden versteigern beschlagnahmte Bitcoins

  6. ZUK Z2

    Android-Smartphone mit Snapdragon 820 für 245 Euro

  7. Zenbook 3 im Hands on

    Kleiner, leichter und schneller als das Macbook

  8. Autokauf

    Landgericht Köln entdeckt, dass SMS sich löschen lassen

  9. Toughpad FZ-B2 Mk 2

    Panasonic zeigt neues Full-Ruggedized-Tablet mit Android

  10. Charm

    Samsungs Fitness-Tracker mit langer Laufzeit kostet 30 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intels Compute Stick im Test: Der mit dem Lüfter streamt (2)
Intels Compute Stick im Test
Der mit dem Lüfter streamt (2)
  1. iPhone 7 Erste Kopfhörer-Adapter für Lightning-auf-Klinke gesichtet
  2. Snapdragon Wear 1100 Neuer Chip für kleine Linux- und RTOS-Wearables
  3. HBM2 eSilicon zeigt 14LPP-Design mit High Bandwidth Memory

Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. Konkurrenz zu DJI Xiaomi mit Kampfpreis für Mi-Drohne
  2. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop HTT will seine Rohrpostzüge aus Marvel-Material bauen
  2. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  3. Inductrack Hyperloop schwebt ohne Strom

  1. Re: "..sichtlich genossen.."

    User_x | 01:28

  2. Re: Erbärmlich

    grorg | 01:27

  3. Re: Ansichtssache

    thesmann | 01:26

  4. Re: Wenn Tim Cook aus dem Fenster springt.....

    User_x | 01:20

  5. Re: Skandal! Ein Jurist kennt den SMS-Standard nicht!

    Moe479 | 01:20


  1. 19:26

  2. 18:41

  3. 18:36

  4. 18:16

  5. 18:11

  6. 17:31

  7. 17:26

  8. 16:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel