Abo
  • Services:
Anzeige
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Browsersicherheit: Google spielt Webview-Sicherheitslücke herunter

Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Google hat sich erstmals öffentlich zu den elf Sicherheitslücken in der Android-Komponente Webview geäußert. Das Unternehmen spielt das Problem herunter und empfiehlt den Einsatz alternativer Browser - das hilft aber nur begrenzt.

Fast zwei Wochen hat sich Google Zeit gelassen, bis das Unternehmen darauf reagiert, dass derzeit mehr als 60 Prozent der Android-Geräte elf offene Sicherheitslücken aufweisen. Adrian Ludwig, Mitarbeiter in Googles Android-Sicherheitsteam, empfiehlt in einem Google-+-Posting Besitzern betroffener Geräte den Einsatz alternativer Browser. Als Beispiele nennt er den Chrome-Browser und Mozillas Firefox-Browser. Beide Browser setzen nicht auf die im Betriebssystem enthaltene Browser-Engine. Das hilft allerdings nicht, wenn eine App die verwundbare Webview-Komponente verwendet.

Anzeige

Elf Sicherheitslücken in Webview

Mitte Januar 2015 hatte der Sicherheitsexperte Tod Beardsley berichtet, dass die Android-Komponente Webview in älteren Versionen des Mobilbetriebssystems nicht mehr mit Sicherheitspatches versehen wird. In Webview befinden sich derzeit allerdings elf offene Sicherheitslücken. Das betrifft alle Android-Versionen kleiner als 4.4 und damit aktuell 60,9 Prozent aller in Betrieb befindlichen Android-Geräte. Außer im Browser wird Webview auch von Apps verwendet, so dass die Geräte auch darüber angreifbar sind.

Mit Android 4.4 alias Kitkat wurde Webview durch das entsprechende Chrome-Pendant ersetzt. Google wird Sicherheitspatches für diese Komponente nur noch für Android 4.4 und neuere Versionen anbieten. Derzeit gehört dazu noch Android 5.0 alias Lollipop, das aber noch für kaum ein Smartphone oder Tablet angeboten wird.

Supportzeitraum genügt nicht

Im Beitrag von Ludwig wird das Problem heruntergespielt, er geht nicht darauf ein, dass die Mehrzahl der Geräte noch nicht mit Android 4.4 und schon gar nicht mit Android 5.0 läuft und weiterhin entsprechend verwundbar ist. Im Beitrag geht es vor allem darum, dass sich mit Android 4.4 viel zum Besseren gewandelt hat - aber die meisten Nutzer haben diese Version nach wie vor nicht vom Gerätehersteller erhalten. Ludwig betont zwar, dass mindestens die beiden letzten aktuellen Android-Versionen Updates erhalten, aber das ist aktuell gerade mal das Minimum - denn Android 4.3 fällt da schon raus.

Er verweist außerdem darauf, dass Webview älter als zwei Jahre ist. Allerdings erschien Android 4.3 im Juli 2013, das Betriebssystem wird also diesbezüglich nach 1,5 Jahren schon keine Sicherheitsupdates mehr von Google erhalten. Wird berücksichtigt, dass abseits der Nexus-Linie erste Geräte mit Android 4.3 erst zum Jahresende 2013 auf den Markt kamen, so verkürzt sich die Updatezeitspanne sogar auf etwas mehr als ein Jahr.

Noch Ende 2014 kamen neue Android-Geräte auf den Markt, die mit Android 4.3 oder einer älteren Version laufen. Und bis zum Frühjahr 2014 galt das sogar für die meisten Neuvorstellungen. Ist für die Geräte kein Update auf Android 4.4 erschienen, sind sie bezüglich der Sicherheit schon nach weniger als einem Jahr nicht mehr aktuell.

Google gibt Verantwortung an App-Entwickler ab

Ludwig fordert in seinem Beitrag außerdem, dass Entwickler eine eigene Webview-Komponente verwenden, wenn sie Apps anbieten, die auf älteren Android-Vesionen als 4.4 laufen. Denn Google aktualisiert die Komponente nicht, so dass App-Entwickler hier selbst nach passenden Lösungen suchen müssen. Für Anwender stellt sich dabei das Problem, dass sie nicht ohne weiteres herausfinden können, welche Android-App intern Webview verwendet.


eye home zur Startseite
Ried Bürger 02. Feb 2015

Zum Einmarsch des Büttenredners die Melodie von Gute Nacht Freunde, wie...

M. 28. Jan 2015

Nein. Mal abgesehen davon dass Google Lücken in Chrome und Android sehr schnell fixt...

M. 27. Jan 2015

Upgrades sicher nicht, Updates vielleicht (wobei das bei Android auf dasselbe...

nille02 27. Jan 2015

Es ist ein Unterschied ob es einen Fix gibt den ich selber einspielen muss, oder ob es...

Klau3 26. Jan 2015

Da Google scheinbar die Lücke nicht patchen kann und die Anwender/Entwickler nicht im...



Anzeige

Stellenmarkt
  1. Online Verlag GmbH Freiburg, Freiburg
  2. Fachhochschule Südwestfalen, Hagen
  3. IBM Client Innovation Center Germany GmbH, Braunschweig
  4. ISI Management Consulting GmbH, Düsseldorf


Anzeige
Hardware-Angebote
  1. 25,99€ (ohne Prime bzw. unter 29€ zzgl. 3€ Versand)
  2. (reduzierte Überstände, Restposten & Co.)
  3. täglich neue Deals

Folgen Sie uns
       


  1. Microsoft

    Windows on ARM ist inkompatibel zu 64-Bit-Programmen

  2. Fehler bei Zwei-Faktor-Authentifizierung

    Facebook will keine Benachrichtigungen per SMS schicken

  3. Europa-SPD

    Milliardenfonds zum Ausbau von Elektrotankstellen gefordert

  4. Carbon Copy Cloner

    APFS-Unterstützung wird wegen Datenverlustgefahr beschränkt

  5. Die Woche im Video

    Spezialeffekte und Spoiler

  6. Virtual RAN

    Telekom und Partner bauen Edge-Computing-Testnetz

  7. Basemental

    Mod erweitert Die Sims 4 um Drogen

  8. Verschlüsselung

    TLS 1.3 ist so gut wie fertig

  9. Colt Technology

    Mobilfunk ist Glasfaser mit Antennen

  10. Robotik

    Defekter Robonaut kommt zurück zur Erde



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flexispy: Wir lassen uns Spyware installieren
Flexispy
Wir lassen uns Spyware installieren
  1. Staatstrojaner Finspy vom Innenministerium freigegeben
  2. Adobe Zero-Day in Flash wird ausgenutzt
  3. Shodan + Metasploit Autosploit macht Hacken kinderleicht und gefährlich

Soziale Medien: Mein gar nicht böser Twitter-Bot
Soziale Medien
Mein gar nicht böser Twitter-Bot
  1. Soziale Medien Social Bots verzweifelt gesucht

Honor 9 Lite im Test: Gutes Smartphone mit zwei Frontkameras für 230 Euro
Honor 9 Lite im Test
Gutes Smartphone mit zwei Frontkameras für 230 Euro
  1. Android 8.0 Oreo für Honor 8 Pro und Honor 9 ist fertig
  2. Smartphone Honor 6C Pro wird zeitweise günstiger
  3. Honor View 10 Honors neues Topsmartphone kostet 500 Euro

  1. Re: Wo ist der Sinn?

    DAGEGEN | 04:19

  2. Re: Kupfer ist besser als eine Antenne

    lyx | 04:10

  3. Re: Wasserstoff wäre billiger

    m8Flo | 03:42

  4. Re: Wieso emuliert man x86 auf ARM, warum...

    baldur | 02:35

  5. Re: Das icht nicht lache

    plutoniumsulfat | 02:21


  1. 19:40

  2. 14:41

  3. 13:45

  4. 13:27

  5. 09:03

  6. 17:10

  7. 16:45

  8. 15:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel