Abo
  • Services:
Anzeige
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Google: 61 Prozent der Android-Geräte behalten Sicherheitslücken

Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen.
Google bietet keine Sicherheitspatches für Komponenten in älteren Android-Versionen. (Bild: Google/Screenshot: Golem.de)

Die Mehrzahl der derzeit verwendeten Android-Geräte hat Sicherheitslücken - und wird sie behalten. Eine Android-Komponente in älteren Versionen erhält keine Patches mehr von Google.

Anzeige

Nicht geschlossene Sicherheitslücken in Android sind ein Dauerproblem. Grund ist einerseits Googles Sicherheitspolitik, andererseits die Art der Updateverteilung, die eine zügige Beseitigung einer Sicherheitslücke erschwert. In einem aktuellen Metasploit-Blog-Posting weist der Sicherheitsexperte Tod Beardsley auf eine neue Entwicklung hin: Beardsley hat von Google erfahren, dass die Android-Komponente Webview in älteren Versionen des Mobilbetriebssystems nicht mehr mit Sicherheitspatches versehen wird.

Elf Sicherheitslücken in Webview bleiben offen

Mit Android 4.4 alias Kitkat wurde Webview durch das entsprechende Chrome-Pendant ersetzt und Google wird Sicherheitspatches für diese Komponente nur noch für Android 4.4 und neuere Versionen anbieten. Derzeit ist das noch Android 5.0 alias Lollipop.

Nach Angaben von Beardsley sind elf Sicherheitslücken in Webview bekannt, die alle bis Android-Version 4.3 nicht beseitigt werden. Nach Googles eigenen Erhebungen sind 60,9 Prozent der im Einsatz befindlichen Android-Geräte davon betroffen, denn gerade mal 39,1 Prozent der Geräte laufen bereits mit Android 4.4 alias Kitkat.

Beardsleys Denkfehler

Beardsley hat versucht, anhand der Verkaufszahlen von Smartphones auf die Menge der betroffenen Nutzer zu schließen. Er kommt dabei auf mehr als 930 Millionen Smartphones, die mit einer veralteten Android-Version laufen. Allerdings unterliegt er dabei mehreren Denkfehlern.

Zum einen bezieht er sich ausschließlich auf Smartphones und lässt Android-Tablets komplett außen vor. Zum anderen berücksichtigt er nicht, dass sich die Verkaufszahlen der Geräte immer auf das laufende Jahr beziehen; in den Google-Zahlen können auch Geräte dabei sein, die zwei Jahre oder älter sind. Zudem lässt sich nicht abschätzen, ob das ein oder andere Android-Gerät schon nach einem Jahr oder noch früher ausgemustert wird. Es liegen einfach zu viele unbekannte Parameter vor, um stichhaltig aus Googles Prozentangaben auf die tatsächliche Menge der Geräte zu schließen.

Android 4.3 erschien vor 1,5 Jahren

Android 4.3 wurde im Juli 2013 veröffentlicht, die Webview-Komponente erhielt also nur 1,5 Jahre Sicherheitsupdates von Google. Wird berücksichtigt, dass abseits der Nexus-Linie erste Geräte mit Android 4.3 erst zum Jahresende 2013 auf den Markt kamen, so verkürzt sich die Updatezeitspanne sogar auf etwas mehr als ein Jahr.

Noch Ende 2014 kamen neue Android-Geräte auf den Markt, die mit Android 4.3 oder einer älteren Version laufen. Und bis zum Frühjahr 2014 galt das sogar für die meisten Neuvorstellungen. Ist für die Geräte kein Update auf Android 4.4 erschienen, sind sie bezüglich der Sicherheit schon nach weniger als einem Jahr nicht mehr aktuell. Das ist vor allem für die meisten Mittelklasse- und Einsteiger-Smartphones der Fall. Google selbst macht generell keine Angaben dazu, wie lange eine Android-Version mit Sicherheitspatches versorgt wird.

Androids Grundproblem

Hier macht sich das Android-Grundproblem negativ bemerkbar, dass Hersteller bei der Wahl der Android-Version freie Hand haben. Und die Android-Updates werden nur für die Nexus-Geräte direkt von Google bereitgestellt. Für alle anderen Android-Geräte sind Kunden auf die Hersteller angewiesen - und vielfach werden nicht einmal die von Google bereitgestellten Sicherheitspatches von den Herstellern angeboten.

Zumindest bei der Browsernutzung können Anwender zur Abhilfe den aktuellen Chrome-Browser verwenden, dann kommt die Webview-Komponente beim Surfen im Internet nicht länger zum Einsatz. Webview wird aber auch von Drittanbieter-Apps verwendet, der Nutzer müsste also entsprechende Apps ebenfalls aussortieren und durch andere ersetzen, um das Ausnutzen der Sicherheitslücken zu verhindern.


eye home zur Startseite
M. 14. Jan 2015

Sailfish OS klingt nicht schlecht, läuft allerdings nicht offiziell auf halbwegs...

__destruct() 14. Jan 2015

Ich sage "Gal-le-rie".

ip (Golem.de) 14. Jan 2015

wenn wir schon bei falsch und richtig sind: Das stimmt nicht. Hersteller verteilen...

E4est 14. Jan 2015

Wenn du das denkst. Ich beneide dich um deine Unschuld und Naivität. Glaub was du...

Anonymer Nutzer 13. Jan 2015

Beide taugen nicht als Telefon? ;-)



Anzeige

Stellenmarkt
  1. über JBH-Management- & Personalberatung Herget, keine Angabe
  2. Flottweg SE, Vilsbiburg Raum Landshut
  3. AKDB, München, Regensburg, Bayreuth
  4. Landeshauptstadt München, München


Anzeige
Spiele-Angebote
  1. 13,49€
  2. 7,99€
  3. 3,99€

Folgen Sie uns
       


  1. Minecraft

    Eine Server-Farm für (fast) alle Klötzchenbauer

  2. Kabelnetz

    Unitymedia bringt neue Connect App, Booster und Sprachsuche

  3. PowerVR 9XE/9XM und PowerVR 2NX

    Imagination Technologies bringt eigenen AI-Beschleuniger

  4. Auslastung

    Wenn es Abend wird im Kabelnetz

  5. Milliarden-Deal

    Google kauft Teile der HTC-Smartphone-Sparte

  6. MPEG

    H.265-Nachfolger kann 30 bis 60 Prozent Verbesserung bringen

  7. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  8. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  9. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  10. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  1. Fakenews: Am 01.01.2023 wird das UKW-Radio stumm...

    Spaghetticode | 10:55

  2. Re: Latenzen, Packet Loss

    joypad | 10:55

  3. Re: Upload höher als bei DSL?

    HansiHinterseher | 10:55

  4. Speedtest Geschummel - Nicht repräsentativ

    FreierLukas | 10:53

  5. Re: Awwwww!

    mrgenie | 10:52


  1. 10:03

  2. 10:00

  3. 09:00

  4. 08:00

  5. 07:10

  6. 07:00

  7. 18:10

  8. 17:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel