Google lässt Sicherheitslücken in älteren Android-Versionen ungepatcht – 930 Millionen Nutzer betroffen

Die neue Regelung gilt für die Komponente WebView in Android 4.3 und früher. WebView ist jedoch für die Darstellung jeglicher Web-Inhalte verantwortlich. Android 4.3 und früher hat zudem laut Google noch einen Anteil von mehr als 60 Prozent.

Google hat offenbar den Support für ältere Versionen der Android-Komponente WebView eingestellt. Laut Tod Beardsley, Sicherheitsforscher bei Rapid7, sind davon alle Nutzer von Android 4.3 Jelly Bean und früher betroffen. Android-Versionen vor 4.4 KitKat haben allerdings immer noch einen Anteil von mehr als 60 Prozent. Damit erhieten mehr als 930 Millionen Android-Geräte keine Sicherheitsupdates mehr von Google, schreibt Beardsley in einem Blogeintrag.

(Bild: ZDNet.com)

WebView ist die Komponente von Android, die für die Darstellung von Web-Inhalten zuständig ist. Sie basiert auf der Rendering-Engine WebKit und steckt nicht nur im namenlosen Android-Browser, sondern wird von allen anderen Apps genutzt, die über keine eigene Browsertechnik verfügen. In Android 4.4 hat Google WebView auf Chromium umgestellt. Die entsprechende Variante basiert auf Chrome 30 inklusive der Rendering-Engine Blink und der JavaScript-Engine V8.

„Wenn die betroffene Version von WebView älter als 4.4 ist, entwickeln wir generell selber keine Patches“, zitiert Beardsley aus der Antwort eines Google-Mitarbeiters zu einer kürzlich neu eingereichten Schwachstelle in WebView mit. Google prüfe gerne von der Community entwickelte oder in das Android Open Source Project integrierte Patches. Gerätehersteller könne es aber lediglich über die Lücken und die Verfügbarkeit eines Fixes informieren.

Ob ein solcher Patch dann auch ausgeliefert wird oder nicht, liegt laut Google allein in der Verantwortung der Gerätehersteller. Ein Grund dafür ist, dass Google erst mit Android 5.0 Lollipop den Browser und damit auch WebView vom Betriebssystem getrennt hat und damit Updates über den Google Play Store ermöglicht.

„Im vergangenen Jahr haben der unabhängige Forscher Rafay Baloch und Joe Vennix von Rapid7 fast routinemäßig Android-WebView-Exploits herausgebracht“, so Beardsley weiter. Das von Rapid7 angebotene Toolkit Metasploit enthalte alleine elf Exploits, die Android 4.3 und früher betreffen. Die letzte WebView-Lücke, einen Cross-Site-Scripting-Bug, habe Google mit dem letzten offiziellen Jelly-Bean-Update im Oktober 2013 geschlossen.

Google zufolge gilt das Support-Ende allerdings nur für WebView und nicht generell für ältere Android-Versionen. Komponenten wie beispielsweise die Multi-Media-Player sollen weiterhin Updates erhalten.

Seine Entscheidung hat Google gegenüber Rapid7 damit begründet, dass es keine neuen Geräte mit dem namenlosen Android-Browser mehr zertifiziert. Zudem sei „der beste Weg, sicherzustellen, dass Android-Geräte sicher sind, sie auf die neueste Android-Version zu aktualisieren“.  Das dürfte einem Geräteneukauf entsprechen, da die meisten Hersteller Softwareupdates auf Android 5.0 nur für die neuesten Modelle planen. Vermutlich geht es Google aber auch darum, nicht zwei unterschiedliche Rendering-Engines zu pflegen, da WebView in Android 4.3 und früher auf WebKit basiert – im Gegensatz zu WebView in Android 4.4 und neuer, das Googles WebKit-Fork Blink nutzt.

Beardsley weist zudem darauf hin, dass Google für den Support oder Lebenszyklus von Android keinerlei Richtlinien veröffentlicht habe. „Google könnte morgen entscheiden, den Support für KitKat einzustellen, was allerdings Selbstmord wäre. Allerdings würde ich auch davon ausgehen, dass die Einstellung des Supports für 60 Prozent der Nutzerbasis einem Selbstmord gleichkommt, aber genau das haben wir hier“, ergänzte Beardsley.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Browser, Google, Smartphone, Tablet

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

17 Kommentare zu Google lässt Sicherheitslücken in älteren Android-Versionen ungepatcht – 930 Millionen Nutzer betroffen

Kommentar hinzufügen
  • Am 13. Januar 2015 um 9:06 von Frech

    Dieses bedeutet einen ausgestreckten Zeigefinger in Richtung Android Anwender … na, nun also viel Spaß beim Neukauf. Womit alle Cyanogenmod inkompatiblrn Geräte zum Schrott werden, da sie auch gebraucht unverkäuflich werden.

    „Zudem sei “der beste Weg, sicherzustellen, dass Android-Geräte sicher sind, sie auf die neueste Android-Version zu aktualisieren”.“

    Da es schwierig sein wird alle Apps zu meiden, die darauf aufsetzen, hilft mittelfristig nur ‚offline‘ Nutzung – als MP3-Player oder Fotoknipser.

    Cool, Google, gut gemacht! ;-)
    Ich weiss schon, warum ich als preiswertes Smartphone ein Lumia 530/535/630 empfehle – in dieser Preisklasse die deutlich bessere Wahl.

  • Am 13. Januar 2015 um 9:09 von Hi, hi...

    „Zudem sei “der beste Weg, sicherzustellen, dass Android-Geräte sicher sind, sie auf die neueste Android-Version zu aktualisieren”…“
    …indem man sich ein neues Gerät kauft/kaufen muss, weil die „neueste Androidversion“ nicht oder erst viel zu spät bereit gestellt wird.

    Apple ist per se zu teuer, um Geld zu bekommen, Android macht es halt so.

    • Am 13. Januar 2015 um 9:28 von Ja

      Google ‚lernt‘ … so kann man den Anwender dazu erziehen schön regelmäßig neue Geräte zu kaufen – die Leistung Hardware spielt keine Rolle mehr, sondern wann Google die nächste Software-Kaufwelle erzeugt.

      Das ist nicht mal eine unauffällig geplante Obsoleszenz, das ist aktiv forcierte Obsoleszenz-Politik seitens Google. Anstatt durch Leistung und neue Funktionen zu überzeugen …

      Mal sehen, ob Microsoft das nun als Steilvorlage nutzt: langer Support, preiswerte Geräte, das könnte für die billigen Androiden zum Problem werden.

  • Am 13. Januar 2015 um 18:14 von punisher

    Da muss Microsoft jetzt richtig ran und eigentlich sollten sie das auch schaffen, wenn sie sich endlich mal anstrengen.

  • Am 14. Januar 2015 um 10:39 von JennyS

    Ich will hier nicht den apologeten spielen, aber Google hat das Problem bereits gepatcht, aber halt in einer neueren OS Version, webview ist wie im Artikel beschrieben fest mit den älteren OSs verbunden. Wenn Google jetzt tatsächlich noch einen Patch für die älteren anbieten würde, was denken Sie wieviele Menschen den wohl bekommen würden? Genau (fast) keiner. Warum? Weil dieser Patch genau wie die neueren OSs erst durch die Hersteller und die Carrier durchgewunken werden muss, und das tun die ja noch nicht mal mit neueren Betriebssystemen, also ganz bestimmt auch nicht hiermit.
    Aber der Nutzer kann auch einfach einen anderen Browser installieren und den anderen deaktivieren oder einfach nicht mehr benutzen. Google wendet hier keine weitere Arbeit auf, weil es zwecklos wäre und das Problem bereits gelöst ist.

  • Am 14. Januar 2015 um 14:13 von pox

    danke jennys. schön dass es auch leute gibt die das kapieren.
    es kriegt doch niemand ein update für die alten versionen. automatischen update prozess gab es keinen in den alten versionen.
    das macht den ganzen artikel hier obsolet.

    • Am 14. Januar 2015 um 15:11 von Hi, hi...

      …warum sollte der Artikel überflüssig sein, wenn doch noch immer (Neu-)Geräte mit Android kleiner 4.4 angeboten werden?

      • Am 14. Januar 2015 um 23:39 von Gegenfrage

        Warum werden bis heute immer noch PCs mit Windows 7 verkauft?
        – Interoperabilität
        – Kompatibilität
        – Nutzerakzeptanz
        […]

        Und um direkt auf die Frage einzugehen:
        Weil kein OEM dazu gezwungen wird, immer die aktuellste Version zu nutzen. Wenn die hauseigenen Entwickler z.B. besser mit älteren Versionen von Android ob architektonischer Feinheiten klarkommen, dann ist die entsprechende Portierung eine Frage des zusätzlichen Aufwands.

        Und zur Erinnerung: Wenn man den Verkauf mobiler Endgeräte juristisch ganz genau betrachtet, dann leben wir in einer extrem komfortablen Lage. Vertragsrechtlich müssten Hersteller nur sicherstellen, dass die beworbenen Funktionen für 24 Monate funktionsfähig bleiben, bevor die Gewährleistungsansprüche flöten gehen. Darin ist aber nicht ein „Update-Recht“ enthalten, was in vielen Foren, Blogs etc. fälschlicherweise behauptet wird.

        • Am 15. Januar 2015 um 6:20 von Hi, hi...

          …aha, und deshalb ist der Artikel obsolet, damit der potentielle Kunde vorsorglich im Dunklen stehen gelassen werden kann und sich nicht vielleicht doch ein noch aktuelleres Gerät bzw. wenigstens einen anderen Browser holt!? Äusserst kundnfreundlich, Deine Ansicht.

  • Am 14. Januar 2015 um 23:20 von C

    Google Kunden-Service, pur.

    Spätestens jetzt sollte einem klar sein, warum man ein Custom-ROM braucht…

    • Am 15. Januar 2015 um 11:34 von Anti-C

      Nur gibt es keines, dass alle Geräte unterstützt. ;-)

      Wehe, Apple hätte sich das gewagt, die Spezis hier würden sich vor Freude und Häme zerreissen. C vorne weg. ;-)

      Aber Google darf das … 1 Mrd Geräte Schrott, who cares? Einfach neu kaufen? Android ist doch billig. ;-)

      • Am 16. Januar 2015 um 15:51 von JennyS

        Nicht alle != niemand

      • Am 16. Januar 2015 um 16:04 von C

        1. Auch die Apfel-OS Unterstützung ist nur auf ein paar Jahre beschränkt…von daher „ganz ruhig, Brauner“.

        2. Es kommt eben darauf an, sich VOR dem Kauf Gedanken zu machen, was man kauft.
        Mein HTC HD2 (Kauf: 06/2009) macht seinen Job mit Custom-Rom CM11:
        Link:
        http://androidforum.tytung.com/nexushd2-kitkat-cm11-0-t230.html

        Damit schlägt das HD2 sämtliche Apfel-OS/HW-Lösungen in der zeitlichen Nutzung mit aktivem OS-Support!

  • Am 16. Januar 2015 um 17:55 von Du meinst

    Kunde ist doof, Google ist unschuldig, und das nächste Mal hat der Kunde gelernt, und kauft kein Android mehr – sicher ist sicher?
    Ja, das ist eine gute Idee. Denn keiner weiss im Vorfeld, wofür es wie lange alternative ROMs geben wird – ausser C, der weiss alles. ;-)

    • Am 16. Januar 2015 um 19:10 von Judas Ischias

      Nein, die Mehrheit der Kunden ist garantiert nicht doof.
      Aber die Mehrheit der Kunden ist sehr ahnungslos und uninformiert.

      Für die „paar“ Leute, die in IT-FOREN unterwegs sind, mögen solche Dinge interessant und wichtig sein, aber nicht für die Mehrheit der Käufer.

      Und die Mehrzahl „DER“ Kunden kaufen nicht Android, sondern Samsung, HTC Sony und von mir aus auch Apple.

      Aber Du weißt das natürlich schon, auch wenn dein Kommentar es nicht so wiedergibt.;)

    • Am 17. Januar 2015 um 14:46 von C

      Nein, Ich weiß nicht alles – schon gar nicht vorher.
      Das wäre schön…

      Beim Kauf ist auf STANDARDs & Technologie-Plattform zu achten, generell. Ebenso der Einsatz-Zweck & Einsatz-Dauer im Preis-/Leistungsverhältnis für die Auswahl mit entscheidend.
      Bei Mobiles wird es Sinn machen, nur Spitzen-Modelle der Markt-Führer zu nehmen, weil es da immer Entwickler-Fans geben wird (CM, XDA u. a.), die hierfür später auch noch OS-Portierungen machen werden. So wie bei meinem HTC HD2.

      Wünschenswerter wäre es, wenn eine OSS-Lösung (z. B. Firefox-OS, Ubuntu, etc.) sich als Standard etablieren würde. Dann hätte man i. d. R. einen langen Support-Zeitraum sichergestellt und wäre weder vom HW-Hersteller noch vom Closed-Source OS-Lieferanten abhängig.

      • Am 17. Januar 2015 um 18:39 von ja ...

        Nun durchs doch nicht herum: wer hat nun gezeigt, dass er Kunden ernst nimmt: Apple (bis zu 4 Jahre Support) oder Google (ausgestreckter Mittelfinger für Kunden mit Android <4.4?

        Fällt Dir schwer zuzugeben, dass man bezüglich Updates und Sicherheitspasches bei Apple besser fährt, hmm? ;-)

        Und sogar Microsoft scheint sich von Sauls (Bruch zw. Windows Mobile und Windows Phone) zum Paulus (sogar eineinhalb Jahre alte Lucias kriegen Win 10) zu wandeln – nur Google pennt, und vergrault seine Anwender.

        Und ganz klar: niemand weiss vorher welches Android Gerät längere Zeit alternative ROMS und Updates kriegt. Bei sehr teuren hat man gute Chancen, aber sorry, bei hohen Preise sollten dann doch die Hersteller liefern, und nicht den Service auf Dritte auslagern, und den Käufer im Regen stehen lassen.

        Du musst nix sagen – mir ist klar, dass Dir Googles Schauerspiel auch gegen den Strich geht – bei aller Antipathie bezüglich Apple verstehe ich das sehr gut.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *