Abo
  • Services:
Anzeige
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Browsersicherheit: Google spielt Webview-Sicherheitslücke herunter

Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Google hat sich erstmals öffentlich zu den elf Sicherheitslücken in der Android-Komponente Webview geäußert. Das Unternehmen spielt das Problem herunter und empfiehlt den Einsatz alternativer Browser - das hilft aber nur begrenzt.

Anzeige

Fast zwei Wochen hat sich Google Zeit gelassen, bis das Unternehmen darauf reagiert, dass derzeit mehr als 60 Prozent der Android-Geräte elf offene Sicherheitslücken aufweisen. Adrian Ludwig, Mitarbeiter in Googles Android-Sicherheitsteam, empfiehlt in einem Google-+-Posting Besitzern betroffener Geräte den Einsatz alternativer Browser. Als Beispiele nennt er den Chrome-Browser und Mozillas Firefox-Browser. Beide Browser setzen nicht auf die im Betriebssystem enthaltene Browser-Engine. Das hilft allerdings nicht, wenn eine App die verwundbare Webview-Komponente verwendet.

Elf Sicherheitslücken in Webview

Mitte Januar 2015 hatte der Sicherheitsexperte Tod Beardsley berichtet, dass die Android-Komponente Webview in älteren Versionen des Mobilbetriebssystems nicht mehr mit Sicherheitspatches versehen wird. In Webview befinden sich derzeit allerdings elf offene Sicherheitslücken. Das betrifft alle Android-Versionen kleiner als 4.4 und damit aktuell 60,9 Prozent aller in Betrieb befindlichen Android-Geräte. Außer im Browser wird Webview auch von Apps verwendet, so dass die Geräte auch darüber angreifbar sind.

Mit Android 4.4 alias Kitkat wurde Webview durch das entsprechende Chrome-Pendant ersetzt. Google wird Sicherheitspatches für diese Komponente nur noch für Android 4.4 und neuere Versionen anbieten. Derzeit gehört dazu noch Android 5.0 alias Lollipop, das aber noch für kaum ein Smartphone oder Tablet angeboten wird.

Supportzeitraum genügt nicht

Im Beitrag von Ludwig wird das Problem heruntergespielt, er geht nicht darauf ein, dass die Mehrzahl der Geräte noch nicht mit Android 4.4 und schon gar nicht mit Android 5.0 läuft und weiterhin entsprechend verwundbar ist. Im Beitrag geht es vor allem darum, dass sich mit Android 4.4 viel zum Besseren gewandelt hat - aber die meisten Nutzer haben diese Version nach wie vor nicht vom Gerätehersteller erhalten. Ludwig betont zwar, dass mindestens die beiden letzten aktuellen Android-Versionen Updates erhalten, aber das ist aktuell gerade mal das Minimum - denn Android 4.3 fällt da schon raus.

Er verweist außerdem darauf, dass Webview älter als zwei Jahre ist. Allerdings erschien Android 4.3 im Juli 2013, das Betriebssystem wird also diesbezüglich nach 1,5 Jahren schon keine Sicherheitsupdates mehr von Google erhalten. Wird berücksichtigt, dass abseits der Nexus-Linie erste Geräte mit Android 4.3 erst zum Jahresende 2013 auf den Markt kamen, so verkürzt sich die Updatezeitspanne sogar auf etwas mehr als ein Jahr.

Noch Ende 2014 kamen neue Android-Geräte auf den Markt, die mit Android 4.3 oder einer älteren Version laufen. Und bis zum Frühjahr 2014 galt das sogar für die meisten Neuvorstellungen. Ist für die Geräte kein Update auf Android 4.4 erschienen, sind sie bezüglich der Sicherheit schon nach weniger als einem Jahr nicht mehr aktuell.

Google gibt Verantwortung an App-Entwickler ab

Ludwig fordert in seinem Beitrag außerdem, dass Entwickler eine eigene Webview-Komponente verwenden, wenn sie Apps anbieten, die auf älteren Android-Vesionen als 4.4 laufen. Denn Google aktualisiert die Komponente nicht, so dass App-Entwickler hier selbst nach passenden Lösungen suchen müssen. Für Anwender stellt sich dabei das Problem, dass sie nicht ohne weiteres herausfinden können, welche Android-App intern Webview verwendet.


eye home zur Startseite
Ried Bürger 02. Feb 2015

Zum Einmarsch des Büttenredners die Melodie von Gute Nacht Freunde, wie...

M. 28. Jan 2015

Nein. Mal abgesehen davon dass Google Lücken in Chrome und Android sehr schnell fixt...

M. 27. Jan 2015

Upgrades sicher nicht, Updates vielleicht (wobei das bei Android auf dasselbe...

nille02 27. Jan 2015

Es ist ein Unterschied ob es einen Fix gibt den ich selber einspielen muss, oder ob es...

Klau3 26. Jan 2015

Da Google scheinbar die Lücke nicht patchen kann und die Anwender/Entwickler nicht im...



Anzeige

Stellenmarkt
  1. Actian Germany GmbH, Hamburg-Volksdorf
  2. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm
  3. über Harvey Nash GmbH, Hamburg, Frankfurt am Main
  4. rhenag Rheinische Energie Aktiengesellschaft, Siegburg


Anzeige
Hardware-Angebote
  1. (Core i5-7600K + Asus GTX 1060 Dual OC)
  2. ab 799,90€
  3. 199,99€ statt 479,99€ - Ersparnis rund 58%

Folgen Sie uns
       


  1. Sicherheitslücke

    Caches von CDN-Netzwerken führen zu Datenleck

  2. Open Source

    Microsoft tritt Cloud Native Computing Foundation bei

  3. Q6

    LGs abgespecktes G6 kostet 350 Euro

  4. Google

    Youtube Red und Play Music fusionieren zu neuem Dienst

  5. Facebook Marketplace

    Facebooks Verkaufsplattform kommt nach Deutschland

  6. Ryzen 3 1300X und 1200 im Test

    Harte Gegner für Intels Core i3

  7. Profitbricks

    United Internet kauft Berliner Cloud-Anbieter

  8. Lipizzan

    Google findet neue Staatstrojaner-Familie für Android

  9. Wolfenstein 2 angespielt

    Stahlskelett und Erdbeermilch

  10. Streaming

    Facebooks TV-Shows sollen im August starten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Creoqode 2048 im Test: Wir programmieren die größte portable Spielkonsole der Welt
Creoqode 2048 im Test
Wir programmieren die größte portable Spielkonsole der Welt
  1. Arduino 101 Intel stellt auch das letzte Bastler-Board ein
  2. 1Sheeld für Arduino angetestet Sensor-Platine hat keine Sensoren und liefert doch Daten
  3. Calliope Mini im Test Neuland lernt programmieren

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  2. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  3. Asus Das Zenbook Flip S ist 10,9 mm flach

Microsoft Surface Pro im Test: Dieses Tablet kann lange
Microsoft Surface Pro im Test
Dieses Tablet kann lange
  1. Surface Diagnostic Toolkit Surface-Tool kommt in den Windows Store
  2. Microsoft Lautloses Surface Pro hält länger durch und bekommt LTE
  3. Microsoft Surface Laptop Vollwertiges Notebook mit eingeschränktem Windows

  1. Re: Wo ist nun die Sicherheitslücke...

    Technik Schaf | 20:38

  2. Re: Sehr sicher...

    Rulf | 20:33

  3. Nach ArcheAge fasse ich F2P-Zeugs nicht mehr an...

    divStar | 20:21

  4. Re: Autozüge

    thorben | 20:17

  5. Re: deutsche Version mal wieder geschnitten

    divStar | 20:16


  1. 18:56

  2. 17:35

  3. 16:44

  4. 16:27

  5. 15:00

  6. 15:00

  7. 14:45

  8. 14:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel