Abo
  • Services:
Anzeige
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Google: 61 Prozent der Android-Geräte behalten Sicherheitslücken

Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Die Mehrzahl der derzeit verwendeten Android-Geräte hat Sicherheitslücken - und wird sie behalten. Eine Android-Komponente in älteren Versionen erhält keine Patches mehr von Google.

Anzeige

Nicht geschlossene Sicherheitslücken in Android sind ein Dauerproblem. Grund ist einerseits Googles Sicherheitspolitik, andererseits die Art der Updateverteilung, die eine zügige Beseitigung einer Sicherheitslücke erschwert. In einem aktuellen Metasploit-Blog-Posting weist der Sicherheitsexperte Tod Beardsley auf eine neue Entwicklung hin: Beardsley hat von Google erfahren, dass die Android-Komponente Webview in älteren Versionen des Mobilbetriebssystems nicht mehr mit Sicherheitspatches versehen wird.

Elf Sicherheitslücken in Webview bleiben offen

Mit Android 4.4 alias Kitkat wurde Webview durch das entsprechende Chrome-Pendant ersetzt und Google wird Sicherheitspatches für diese Komponente nur noch für Android 4.4 und neuere Versionen anbieten. Derzeit ist das noch Android 5.0 alias Lollipop.

Nach Angaben von Beardsley sind elf Sicherheitslücken in Webview bekannt, die alle bis Android-Version 4.3 nicht beseitigt werden. Nach Googles eigenen Erhebungen sind 60,9 Prozent der im Einsatz befindlichen Android-Geräte davon betroffen, denn gerade mal 39,1 Prozent der Geräte laufen bereits mit Android 4.4 alias Kitkat.

Beardsleys Denkfehler

Beardsley hat versucht, anhand der Verkaufszahlen von Smartphones auf die Menge der betroffenen Nutzer zu schließen. Er kommt dabei auf mehr als 930 Millionen Smartphones, die mit einer veralteten Android-Version laufen. Allerdings unterliegt er dabei mehreren Denkfehlern.

Zum einen bezieht er sich ausschließlich auf Smartphones und lässt Android-Tablets komplett außen vor. Zum anderen berücksichtigt er nicht, dass sich die Verkaufszahlen der Geräte immer auf das laufende Jahr beziehen; in den Google-Zahlen können auch Geräte dabei sein, die zwei Jahre oder älter sind. Zudem lässt sich nicht abschätzen, ob das ein oder andere Android-Gerät schon nach einem Jahr oder noch früher ausgemustert wird. Es liegen einfach zu viele unbekannte Parameter vor, um stichhaltig aus Googles Prozentangaben auf die tatsächliche Menge der Geräte zu schließen.

Android 4.3 erschien vor 1,5 Jahren

Android 4.3 wurde im Juli 2013 veröffentlicht, die Webview-Komponente erhielt also nur 1,5 Jahre Sicherheitsupdates von Google. Wird berücksichtigt, dass abseits der Nexus-Linie erste Geräte mit Android 4.3 erst zum Jahresende 2013 auf den Markt kamen, so verkürzt sich die Updatezeitspanne sogar auf etwas mehr als ein Jahr.

Noch Ende 2014 kamen neue Android-Geräte auf den Markt, die mit Android 4.3 oder einer älteren Version laufen. Und bis zum Frühjahr 2014 galt das sogar für die meisten Neuvorstellungen. Ist für die Geräte kein Update auf Android 4.4 erschienen, sind sie bezüglich der Sicherheit schon nach weniger als einem Jahr nicht mehr aktuell. Das ist vor allem für die meisten Mittelklasse- und Einsteiger-Smartphones der Fall. Google selbst macht generell keine Angaben dazu, wie lange eine Android-Version mit Sicherheitspatches versorgt wird.

Androids Grundproblem

Hier macht sich das Android-Grundproblem negativ bemerkbar, dass Hersteller bei der Wahl der Android-Version freie Hand haben. Und die Android-Updates werden nur für die Nexus-Geräte direkt von Google bereitgestellt. Für alle anderen Android-Geräte sind Kunden auf die Hersteller angewiesen - und vielfach werden nicht einmal die von Google bereitgestellten Sicherheitspatches von den Herstellern angeboten.

Zumindest bei der Browsernutzung können Anwender zur Abhilfe den aktuellen Chrome-Browser verwenden, dann kommt die Webview-Komponente beim Surfen im Internet nicht länger zum Einsatz. Webview wird aber auch von Drittanbieter-Apps verwendet, der Nutzer müsste also entsprechende Apps ebenfalls aussortieren und durch andere ersetzen, um das Ausnutzen der Sicherheitslücken zu verhindern.


eye home zur Startseite
M. 14. Jan 2015

Sailfish OS klingt nicht schlecht, läuft allerdings nicht offiziell auf halbwegs...

__destruct() 14. Jan 2015

Ich sage "Gal-le-rie".

ip (Golem.de) 14. Jan 2015

wenn wir schon bei falsch und richtig sind: Das stimmt nicht. Hersteller verteilen...

E4est 14. Jan 2015

Wenn du das denkst. Ich beneide dich um deine Unschuld und Naivität. Glaub was du...

Anonymer Nutzer 13. Jan 2015

Beide taugen nicht als Telefon? ;-)



Anzeige

Stellenmarkt
  1. Metz Consumer Electronics GmbH, Zirndorf (bei Nürnberg/Fürth)
  2. Deutsche Telekom AG, Bonn
  3. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  4. Dataport, Hamburg


Anzeige
Spiele-Angebote
  1. 209,99€/219,99€ (Vorbesteller-Preisgarantie)
  2. 49,99€ (Vorbesteller-Preisgarantie)
  3. je 49,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Tipps für IT-Engagement in Fernost
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Die Woche im Video

    Ausgesperrt, aufgehängt, aufgegeben

  2. 100 MBit/s

    Zusagen der Bundesnetzagentur drücken Preis für Vectoring

  3. Insolvenz

    Unister Holding mit 39 Millionen Euro verschuldet

  4. Radeons RX 480

    Die Designs von AMDs Partnern takten höher - und konstanter

  5. Koelnmesse

    Tagestickets für Gamescom ausverkauft

  6. Kluge Uhren

    Weltweiter Smartwatch-Markt bricht um ein Drittel ein

  7. Linux

    Nvidia ist bereit für einheitliche Wayland-Unterstützung

  8. Copyright

    Klage gegen US-Marine wegen 558.466-mal Softwarepiraterie

  9. Cosmos Rings

    Rollenspiel für die Apple Watch

  10. STARTTLS

    Keine Verschlüsselung mit der SPD



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Besuch beim HAX Accelerator: Made in Shenzhen
Besuch beim HAX Accelerator
Made in Shenzhen
  1. Superbook Neues Laptop-Dock für Smartphones soll 100 US-Dollar kosten
  2. Kreditkarten Number26 wird Betrug mit Standortdaten verhindern
  3. Bargeld nervt Startups und Kryptowährungen mischen die Finanzbranche auf

Die erste Ransomware: Der Virus des wunderlichen Dr. Popp
Die erste Ransomware
Der Virus des wunderlichen Dr. Popp
  1. Erpressungstrojaner Locky kann jetzt auch offline
  2. Ransomware Ranscam schickt Dateien unwiederbringlich ins Nirwana
  3. Botnet Necurs kommt zurück und bringt Locky millionenfach mit

Powershot G7 X II im Test: Canon versucht es wieder gegen Sony
Powershot G7 X II im Test
Canon versucht es wieder gegen Sony
  1. Prisma Endlich künstlerisch wertvolle Handy-Fotos
  2. Art Camera Googles Spezialkamera scannt Kunstwerke
  3. 360 Grad Vuze mit 3D-Rundumkamera zum Kampfpreis

  1. Re: Kann mit das bitte mal jemand für Laien erklären?

    Graveangel | 11:01

  2. Re: Fragwürdiges Funktionsprinzip

    Pjörn | 10:57

  3. Re: Und schon ist alles weg...

    lolig | 10:53

  4. Re: Na dann viel Glück..

    mr_tux | 10:51

  5. Re: Ein Gadget, was die Menschheit auch noch nie...

    igor37 | 10:45


  1. 09:01

  2. 18:26

  3. 18:00

  4. 17:00

  5. 16:29

  6. 16:02

  7. 15:43

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel