Abo
  • Services:

Google: 61 Prozent der Android-Geräte behalten Sicherheitslücken

Die Mehrzahl der derzeit verwendeten Android-Geräte hat Sicherheitslücken - und wird sie behalten. Eine Android-Komponente in älteren Versionen erhält keine Patches mehr von Google.

Artikel veröffentlicht am ,
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Nicht geschlossene Sicherheitslücken in Android sind ein Dauerproblem. Grund ist einerseits Googles Sicherheitspolitik, andererseits die Art der Updateverteilung, die eine zügige Beseitigung einer Sicherheitslücke erschwert. In einem aktuellen Metasploit-Blog-Posting weist der Sicherheitsexperte Tod Beardsley auf eine neue Entwicklung hin: Beardsley hat von Google erfahren, dass die Android-Komponente Webview in älteren Versionen des Mobilbetriebssystems nicht mehr mit Sicherheitspatches versehen wird.

Elf Sicherheitslücken in Webview bleiben offen

Stellenmarkt
  1. Loh Services GmbH & Co. KG, Haiger
  2. BWI GmbH, deutschlandweit

Mit Android 4.4 alias Kitkat wurde Webview durch das entsprechende Chrome-Pendant ersetzt und Google wird Sicherheitspatches für diese Komponente nur noch für Android 4.4 und neuere Versionen anbieten. Derzeit ist das noch Android 5.0 alias Lollipop.

Nach Angaben von Beardsley sind elf Sicherheitslücken in Webview bekannt, die alle bis Android-Version 4.3 nicht beseitigt werden. Nach Googles eigenen Erhebungen sind 60,9 Prozent der im Einsatz befindlichen Android-Geräte davon betroffen, denn gerade mal 39,1 Prozent der Geräte laufen bereits mit Android 4.4 alias Kitkat.

Beardsleys Denkfehler

Beardsley hat versucht, anhand der Verkaufszahlen von Smartphones auf die Menge der betroffenen Nutzer zu schließen. Er kommt dabei auf mehr als 930 Millionen Smartphones, die mit einer veralteten Android-Version laufen. Allerdings unterliegt er dabei mehreren Denkfehlern.

Zum einen bezieht er sich ausschließlich auf Smartphones und lässt Android-Tablets komplett außen vor. Zum anderen berücksichtigt er nicht, dass sich die Verkaufszahlen der Geräte immer auf das laufende Jahr beziehen; in den Google-Zahlen können auch Geräte dabei sein, die zwei Jahre oder älter sind. Zudem lässt sich nicht abschätzen, ob das ein oder andere Android-Gerät schon nach einem Jahr oder noch früher ausgemustert wird. Es liegen einfach zu viele unbekannte Parameter vor, um stichhaltig aus Googles Prozentangaben auf die tatsächliche Menge der Geräte zu schließen.

Android 4.3 erschien vor 1,5 Jahren

Android 4.3 wurde im Juli 2013 veröffentlicht, die Webview-Komponente erhielt also nur 1,5 Jahre Sicherheitsupdates von Google. Wird berücksichtigt, dass abseits der Nexus-Linie erste Geräte mit Android 4.3 erst zum Jahresende 2013 auf den Markt kamen, so verkürzt sich die Updatezeitspanne sogar auf etwas mehr als ein Jahr.

Noch Ende 2014 kamen neue Android-Geräte auf den Markt, die mit Android 4.3 oder einer älteren Version laufen. Und bis zum Frühjahr 2014 galt das sogar für die meisten Neuvorstellungen. Ist für die Geräte kein Update auf Android 4.4 erschienen, sind sie bezüglich der Sicherheit schon nach weniger als einem Jahr nicht mehr aktuell. Das ist vor allem für die meisten Mittelklasse- und Einsteiger-Smartphones der Fall. Google selbst macht generell keine Angaben dazu, wie lange eine Android-Version mit Sicherheitspatches versorgt wird.

Androids Grundproblem

Hier macht sich das Android-Grundproblem negativ bemerkbar, dass Hersteller bei der Wahl der Android-Version freie Hand haben. Und die Android-Updates werden nur für die Nexus-Geräte direkt von Google bereitgestellt. Für alle anderen Android-Geräte sind Kunden auf die Hersteller angewiesen - und vielfach werden nicht einmal die von Google bereitgestellten Sicherheitspatches von den Herstellern angeboten.

Zumindest bei der Browsernutzung können Anwender zur Abhilfe den aktuellen Chrome-Browser verwenden, dann kommt die Webview-Komponente beim Surfen im Internet nicht länger zum Einsatz. Webview wird aber auch von Drittanbieter-Apps verwendet, der Nutzer müsste also entsprechende Apps ebenfalls aussortieren und durch andere ersetzen, um das Ausnutzen der Sicherheitslücken zu verhindern.



Anzeige
Spiele-Angebote
  1. 14,95€
  2. (-81%) 5,75€
  3. 2,99€
  4. 4,99€

M. 14. Jan 2015

Sailfish OS klingt nicht schlecht, läuft allerdings nicht offiziell auf halbwegs...

__destruct() 14. Jan 2015

Ich sage "Gal-le-rie".

ip (Golem.de) 14. Jan 2015

wenn wir schon bei falsch und richtig sind: Das stimmt nicht. Hersteller verteilen...

E4est 14. Jan 2015

Wenn du das denkst. Ich beneide dich um deine Unschuld und Naivität. Glaub was du...

Anonymer Nutzer 13. Jan 2015

Beide taugen nicht als Telefon? ;-)


Folgen Sie uns
       


Vier drahtlose Gaming-Headsets im Test

Zu oft stolpert Golem.de beim Spielen über nervende Kabel. Deshalb testen wir vier Headsets, die auf Kabel verzichten, aber sehr unterschiedlich sind. Von vibrierenden Motoren bis zu ungewöhnlich gutem Sound ist alles dabei. Wir haben auch einen Favoriten.

Vier drahtlose Gaming-Headsets im Test Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

    •  /