Abo
  • Services:
Anzeige
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Google: 61 Prozent der Android-Geräte behalten Sicherheitslücken

Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Die Mehrzahl der derzeit verwendeten Android-Geräte hat Sicherheitslücken - und wird sie behalten. Eine Android-Komponente in älteren Versionen erhält keine Patches mehr von Google.

Nicht geschlossene Sicherheitslücken in Android sind ein Dauerproblem. Grund ist einerseits Googles Sicherheitspolitik, andererseits die Art der Updateverteilung, die eine zügige Beseitigung einer Sicherheitslücke erschwert. In einem aktuellen Metasploit-Blog-Posting weist der Sicherheitsexperte Tod Beardsley auf eine neue Entwicklung hin: Beardsley hat von Google erfahren, dass die Android-Komponente Webview in älteren Versionen des Mobilbetriebssystems nicht mehr mit Sicherheitspatches versehen wird.

Anzeige

Elf Sicherheitslücken in Webview bleiben offen

Mit Android 4.4 alias Kitkat wurde Webview durch das entsprechende Chrome-Pendant ersetzt und Google wird Sicherheitspatches für diese Komponente nur noch für Android 4.4 und neuere Versionen anbieten. Derzeit ist das noch Android 5.0 alias Lollipop.

Nach Angaben von Beardsley sind elf Sicherheitslücken in Webview bekannt, die alle bis Android-Version 4.3 nicht beseitigt werden. Nach Googles eigenen Erhebungen sind 60,9 Prozent der im Einsatz befindlichen Android-Geräte davon betroffen, denn gerade mal 39,1 Prozent der Geräte laufen bereits mit Android 4.4 alias Kitkat.

Beardsleys Denkfehler

Beardsley hat versucht, anhand der Verkaufszahlen von Smartphones auf die Menge der betroffenen Nutzer zu schließen. Er kommt dabei auf mehr als 930 Millionen Smartphones, die mit einer veralteten Android-Version laufen. Allerdings unterliegt er dabei mehreren Denkfehlern.

Zum einen bezieht er sich ausschließlich auf Smartphones und lässt Android-Tablets komplett außen vor. Zum anderen berücksichtigt er nicht, dass sich die Verkaufszahlen der Geräte immer auf das laufende Jahr beziehen; in den Google-Zahlen können auch Geräte dabei sein, die zwei Jahre oder älter sind. Zudem lässt sich nicht abschätzen, ob das ein oder andere Android-Gerät schon nach einem Jahr oder noch früher ausgemustert wird. Es liegen einfach zu viele unbekannte Parameter vor, um stichhaltig aus Googles Prozentangaben auf die tatsächliche Menge der Geräte zu schließen.

Android 4.3 erschien vor 1,5 Jahren

Android 4.3 wurde im Juli 2013 veröffentlicht, die Webview-Komponente erhielt also nur 1,5 Jahre Sicherheitsupdates von Google. Wird berücksichtigt, dass abseits der Nexus-Linie erste Geräte mit Android 4.3 erst zum Jahresende 2013 auf den Markt kamen, so verkürzt sich die Updatezeitspanne sogar auf etwas mehr als ein Jahr.

Noch Ende 2014 kamen neue Android-Geräte auf den Markt, die mit Android 4.3 oder einer älteren Version laufen. Und bis zum Frühjahr 2014 galt das sogar für die meisten Neuvorstellungen. Ist für die Geräte kein Update auf Android 4.4 erschienen, sind sie bezüglich der Sicherheit schon nach weniger als einem Jahr nicht mehr aktuell. Das ist vor allem für die meisten Mittelklasse- und Einsteiger-Smartphones der Fall. Google selbst macht generell keine Angaben dazu, wie lange eine Android-Version mit Sicherheitspatches versorgt wird.

Androids Grundproblem

Hier macht sich das Android-Grundproblem negativ bemerkbar, dass Hersteller bei der Wahl der Android-Version freie Hand haben. Und die Android-Updates werden nur für die Nexus-Geräte direkt von Google bereitgestellt. Für alle anderen Android-Geräte sind Kunden auf die Hersteller angewiesen - und vielfach werden nicht einmal die von Google bereitgestellten Sicherheitspatches von den Herstellern angeboten.

Zumindest bei der Browsernutzung können Anwender zur Abhilfe den aktuellen Chrome-Browser verwenden, dann kommt die Webview-Komponente beim Surfen im Internet nicht länger zum Einsatz. Webview wird aber auch von Drittanbieter-Apps verwendet, der Nutzer müsste also entsprechende Apps ebenfalls aussortieren und durch andere ersetzen, um das Ausnutzen der Sicherheitslücken zu verhindern.


eye home zur Startseite
M. 14. Jan 2015

Sailfish OS klingt nicht schlecht, läuft allerdings nicht offiziell auf halbwegs...

__destruct() 14. Jan 2015

Ich sage "Gal-le-rie".

ip (Golem.de) 14. Jan 2015

wenn wir schon bei falsch und richtig sind: Das stimmt nicht. Hersteller verteilen...

E4est 14. Jan 2015

Wenn du das denkst. Ich beneide dich um deine Unschuld und Naivität. Glaub was du...

Anonymer Nutzer 13. Jan 2015

Beide taugen nicht als Telefon? ;-)



Anzeige

Stellenmarkt
  1. EOS GmbH Electro Optical Systems, Krailling bei München
  2. WINGS - Wismar International Graduation Services GmbH, Wismar
  3. Vodafone GmbH, Düsseldorf
  4. BSH Hausgeräte GmbH, München


Anzeige
Hardware-Angebote
  1. und bis zu 50€ Cashback erhalten bei Alternate.de

Folgen Sie uns
       


  1. eActros

    Elektrischer Mercedes-Benz-Lkw fährt schon 2018

  2. Snapdragon 5G

    Qualcomm nutzt Samsungs 7LPP-EUV-Fertigung

  3. Retrofit Kit

    Alte MacOS-Versionen für APFS fit machen

  4. Porto Santo

    Renault will Elektroinsel schaffen

  5. LED-Lampen

    Computer machen neues Licht

  6. Signal Foundation

    Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal

  7. Astronomie

    Amateur beobachtet erstmals die Geburt einer Supernova

  8. Internet der Dinge

    Bosch will die totale Vernetzung

  9. Bad News

    Browsergame soll Mechanismen von Fake News erklären

  10. Facebook

    Denn sie wissen nicht, worin sie einwilligen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Raven Ridge AMD verschickt CPUs für UEFI-Update
  2. Krypto-Mining AMDs Threadripper schürft effizient Monero
  3. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet

Razer Kiyo und Seiren X im Test: Nicht professionell, aber schnell im Einsatz
Razer Kiyo und Seiren X im Test
Nicht professionell, aber schnell im Einsatz
  1. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  2. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet
  3. Razer Akku- und kabellose Spielemaus Mamba Hyperflux vorgestellt

Freier Media-Player: VLC 3.0 eint alle Plattformen
Freier Media-Player
VLC 3.0 eint alle Plattformen

  1. Re: Subnautica

    Sharkuu | 08:09

  2. Kurzfristig...

    fox82 | 08:06

  3. Re: Sehr guter Artikel!

    Richy-Holly | 08:04

  4. Re: "erste [...] überhaupt, das aus dieser...

    Axcyer | 08:04

  5. Re: Teleshopping über Microsoft Store

    Hoerli | 08:01


  1. 07:44

  2. 07:34

  3. 07:25

  4. 07:14

  5. 07:00

  6. 21:26

  7. 19:00

  8. 17:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel