Abo
  • Services:

Google: 61 Prozent der Android-Geräte behalten Sicherheitslücken

Die Mehrzahl der derzeit verwendeten Android-Geräte hat Sicherheitslücken - und wird sie behalten. Eine Android-Komponente in älteren Versionen erhält keine Patches mehr von Google.

Artikel veröffentlicht am ,
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Nicht geschlossene Sicherheitslücken in Android sind ein Dauerproblem. Grund ist einerseits Googles Sicherheitspolitik, andererseits die Art der Updateverteilung, die eine zügige Beseitigung einer Sicherheitslücke erschwert. In einem aktuellen Metasploit-Blog-Posting weist der Sicherheitsexperte Tod Beardsley auf eine neue Entwicklung hin: Beardsley hat von Google erfahren, dass die Android-Komponente Webview in älteren Versionen des Mobilbetriebssystems nicht mehr mit Sicherheitspatches versehen wird.

Elf Sicherheitslücken in Webview bleiben offen

Stellenmarkt
  1. Marienhaus Dienstleistungen GmbH, Saarlouis, Losheim am See
  2. Kliniken Schmieder, Allensbach am Bodensee

Mit Android 4.4 alias Kitkat wurde Webview durch das entsprechende Chrome-Pendant ersetzt und Google wird Sicherheitspatches für diese Komponente nur noch für Android 4.4 und neuere Versionen anbieten. Derzeit ist das noch Android 5.0 alias Lollipop.

Nach Angaben von Beardsley sind elf Sicherheitslücken in Webview bekannt, die alle bis Android-Version 4.3 nicht beseitigt werden. Nach Googles eigenen Erhebungen sind 60,9 Prozent der im Einsatz befindlichen Android-Geräte davon betroffen, denn gerade mal 39,1 Prozent der Geräte laufen bereits mit Android 4.4 alias Kitkat.

Beardsleys Denkfehler

Beardsley hat versucht, anhand der Verkaufszahlen von Smartphones auf die Menge der betroffenen Nutzer zu schließen. Er kommt dabei auf mehr als 930 Millionen Smartphones, die mit einer veralteten Android-Version laufen. Allerdings unterliegt er dabei mehreren Denkfehlern.

Zum einen bezieht er sich ausschließlich auf Smartphones und lässt Android-Tablets komplett außen vor. Zum anderen berücksichtigt er nicht, dass sich die Verkaufszahlen der Geräte immer auf das laufende Jahr beziehen; in den Google-Zahlen können auch Geräte dabei sein, die zwei Jahre oder älter sind. Zudem lässt sich nicht abschätzen, ob das ein oder andere Android-Gerät schon nach einem Jahr oder noch früher ausgemustert wird. Es liegen einfach zu viele unbekannte Parameter vor, um stichhaltig aus Googles Prozentangaben auf die tatsächliche Menge der Geräte zu schließen.

Android 4.3 erschien vor 1,5 Jahren

Android 4.3 wurde im Juli 2013 veröffentlicht, die Webview-Komponente erhielt also nur 1,5 Jahre Sicherheitsupdates von Google. Wird berücksichtigt, dass abseits der Nexus-Linie erste Geräte mit Android 4.3 erst zum Jahresende 2013 auf den Markt kamen, so verkürzt sich die Updatezeitspanne sogar auf etwas mehr als ein Jahr.

Noch Ende 2014 kamen neue Android-Geräte auf den Markt, die mit Android 4.3 oder einer älteren Version laufen. Und bis zum Frühjahr 2014 galt das sogar für die meisten Neuvorstellungen. Ist für die Geräte kein Update auf Android 4.4 erschienen, sind sie bezüglich der Sicherheit schon nach weniger als einem Jahr nicht mehr aktuell. Das ist vor allem für die meisten Mittelklasse- und Einsteiger-Smartphones der Fall. Google selbst macht generell keine Angaben dazu, wie lange eine Android-Version mit Sicherheitspatches versorgt wird.

Androids Grundproblem

Hier macht sich das Android-Grundproblem negativ bemerkbar, dass Hersteller bei der Wahl der Android-Version freie Hand haben. Und die Android-Updates werden nur für die Nexus-Geräte direkt von Google bereitgestellt. Für alle anderen Android-Geräte sind Kunden auf die Hersteller angewiesen - und vielfach werden nicht einmal die von Google bereitgestellten Sicherheitspatches von den Herstellern angeboten.

Zumindest bei der Browsernutzung können Anwender zur Abhilfe den aktuellen Chrome-Browser verwenden, dann kommt die Webview-Komponente beim Surfen im Internet nicht länger zum Einsatz. Webview wird aber auch von Drittanbieter-Apps verwendet, der Nutzer müsste also entsprechende Apps ebenfalls aussortieren und durch andere ersetzen, um das Ausnutzen der Sicherheitslücken zu verhindern.



Anzeige
Hardware-Angebote
  1. 18,99€
  2. 215,71€
  3. (u. a. 32 GB 6,98€, 128 GB 23,58€)

M. 14. Jan 2015

Sailfish OS klingt nicht schlecht, läuft allerdings nicht offiziell auf halbwegs...

__destruct() 14. Jan 2015

Ich sage "Gal-le-rie".

ip (Golem.de) 14. Jan 2015

wenn wir schon bei falsch und richtig sind: Das stimmt nicht. Hersteller verteilen...

E4est 14. Jan 2015

Wenn du das denkst. Ich beneide dich um deine Unschuld und Naivität. Glaub was du...

Anonymer Nutzer 13. Jan 2015

Beide taugen nicht als Telefon? ;-)


Folgen Sie uns
       


Besuch im Testturm Rottweil von Thyssen-Krupp - Bericht

Thyssen-Krupp testet in Baden-Württemberg in einen Turm einen revolutionären Aufzug, der ohne Seile auskommt.

Besuch im Testturm Rottweil von Thyssen-Krupp - Bericht Video aufrufen
Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch

  1. Android, Debian, Sailfish OS Gemini PDA bekommt Dreifach-Boot-Option

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

Uploadfilter: Der Generalangriff auf das Web 2.0
Uploadfilter
Der Generalangriff auf das Web 2.0

Die EU-Urheberrechtsreform könnte Plattformen mit nutzergenerierten Inhalten stark behindern. Die Verfechter von Uploadfiltern zeigen dabei ein Verständnis des Netzes, das mit der Realität wenig zu tun hat. Statt Lizenzen könnte es einen anderen Ausweg geben.
Eine Analyse von Friedhelm Greis

  1. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  2. EU-Urheberrecht Die verdorbene Reform
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

    •  /