930 Millionen Android-Nutzer bekommen nur noch mangelhafte Sicherheits-Updates
Google hat offenbar den Support für ältere Versionen der Android-Komponente WebView eingestellt. Davon sind alle Nutzer von Android 4.3 und früher betroffen. Android-Versionen vor 4.4 haben laut Google allerdings immer noch einen Anteil von mehr als 60 Prozent. Damit erhalten mehr als 930 Millionen Android-Geräte keine Sicherheit-Updates mehr von Google, schreibt Tod Beardsley, Sicherheitsforscher bei Rapid7.
WebView ist in Android für die Darstellung von Web-Inhalten zuständig. Es basiert auf der Rendering-Engine WebKit und steckt nicht nur im namenlosen Android-Browser, sondern wird von allen anderen Apps genutzt, die über keine eigene Browsertechnik verfügen. In Android 4.4 hat Google WebView auf Chromium umgestellt. Die entsprechende Variante basiert auf Chrome 30 inklusive der Rendering-Engine Blink und der JavaScript-Engine V8.
“Wenn die betroffene Version von WebView älter als 4.4 ist, entwickeln wir generell selber keine Patches”, zitiert Beardsley aus der Antwort eines Google-Mitarbeiters zu einer kürzlich neu eingereichten Schwachstelle in WebView. Google prüfe gerne von der Community entwickelte oder in das Android Open Source Project integrierte Patches. Gerätehersteller könne es aber lediglich über die Lücken und die Verfügbarkeit eines Fixes informieren.
Ob ein solcher Patch dann ausgeliefert wird, liegt laut Google allein in der Verantwortung der Gerätehersteller. Google hat erst mit Android 5.0 Lollipop den Browser und damit auch WebView vom Betriebssystem getrennt hat und damit Updates über den Google Play Store ermöglicht.
“Im vergangenen Jahr haben der unabhängige Forscher Rafay Baloch und Joe Vennix von Rapid7 fast routinemäßig Android-WebView-Exploits herausgebracht”, so Beardsley weiter. Das von Rapid7 angebotene Toolkit Metasploit enthalte alleine elf Exploits, die Android 4.3 und früher betreffen. Die letzte WebView-Lücke, einen Cross-Site-Scripting-Bug, habe Google mit dem letzten offiziellen Jelly-Bean-Update im Oktober 2013 geschlossen.
Google zufolge gilt das Support-Ende allerdings nur für WebView und nicht generell für ältere Android-Versionen. Komponenten wie die Multi-Media-Player sollen weiterhin Updates erhalten. Seine Entscheidung hat Google gegenüber Rapid7 damit begründet, dass es keine neuen Geräte mit dem namenlosen Android-Browser mehr zertifiziert. Zudem sei “der beste Weg, um sicherzustellen, dass Android-Geräte sicher sind, sie auf die neueste Android-Version zu aktualisieren”.
Das dürfte in den meisten Fällen auf einen Geräteneukauf hinauslaufen, da die meisten Hersteller Software-Updates auf Android 5.0 nur für die neuesten Modelle planen. Vermutlich geht es Google aber auch darum, nicht zwei unterschiedliche Rendering-Engines zu pflegen, da WebView in Android 4.3 und früher auf WebKit basiert – im Gegensatz zu WebView in Android 4.4 und neuer, das Googles WebKit-Fork Blink nutzt.
Beardsley weist auch darauf hin, dass Google für den Support oder Lebenszyklus von Android keinerlei Richtlinien veröffentlicht habe. “Google könnte morgen entscheiden, den Support für KitKat einzustellen, was allerdings Selbstmord wäre. Allerdings würde ich auch davon ausgehen, dass die Einstellung des Supports für 60 Prozent der Nutzerbasis einem Selbstmord gleichkommt, aber genau das haben wir hier”, ergänzte Beardsley.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de