Google wird Browser-Lücke in Android 4.3 nicht stopfen

Der für Android-Sicherheit zuständige Google-Manager kündigt das in einem Google+-Eintrag an. Ihm zufolge kann der Support für die mehr als zwei Jahre alte WebKit-Version in der Komponente WebView nicht mehr garantiert werden. Er empfiehlt den Umstieg auf Chrome oder Firefox.

Google hat bekräftigt, dass es keine Sicherheitsupdates mehr für die Komponente WebView in Android 4.3 und früher entwickelt. Gegenüber CNET bestätigte der Internetkonzern am Wochenende Aussagen von Adrian Ludwig, der bei Google für die Sicherheit von Android zuständig ist und auf Google+ angekündigt hatte, dass die derzeit bekannten Lücken ungepatcht bleiben.

(Bild: ZDNet.com)

WebView ist die Komponente von Android, die für die Darstellung von Web-Inhalten zuständig ist. Sie basiert auf der Rendering-Engine WebKit und steckt nicht nur im namenlosen Android-Browser, sondern wird von allen anderen Apps genutzt, die über keine eigene Browsertechnik verfügen. In Android 4.4 hat Google WebView auf Chromium umgestellt. Die entsprechende Variante basiert auf Chrome 30 inklusive der Rendering-Engine Blink und der JavaScript-Engine V8.

„Software aktuell zu halten, ist eine der größten Herausforderungen im Bereich Sicherheit“, schreibt Ludwig. Da die Browser-App auf einer Version der Browser-Engine WebKit basiere, die jetzt mehr als zwei Jahre alt sei, sei das Stopfen eines Lochs in Android 4.3 Jelly Bean und früher nicht mehr „mit Sicherheit möglich.“

Mit Android 4.4 KitKat habe Google die Sicherheit von WebView und des Browsers deutlich verbessert, ergänzte Ludwig. Seit Android 5.0 Lollipop sei Google zudem in der Lage, Updates für WebView nicht mehr ausschließlich über die Gerätehersteller, sondern direkt über Google Play zu verteilen. Zudem nehme die Zahl der Nutzer, die noch Android 4.3 und früher einsetzten, durch die Zahl derer, die auf Android 4.4 und neuer umstiegen, stetig ab.

Nutzern rät Ludwig, für das Anzeigen von Webinhalten einen Browser wie Chrome oder Firefox zu verwenden, der über Google Play aktualisiert wird. Chrome stehe für Android ab Version 4.0 zur Verfügung, und Firefox unterstütze sogar Android 2.3 und neuer. App-Entwickler sollten wiederum sicherstellen, dass ihre auf WebView basierenden Anwendungen nur Inhalte aus vertrauenswürdigen Quellen laden, also nur lokal gespeicherte Inhalte oder über eine sichere HTTP-Verbindung (HTTPS). Alternativ könnten Entwickler auch einen eigenen Renderer einsetzen, für den sie dann selber Sicherheitspatches bereitstellen könnten. Allerdings weist Ludwig auch darauf hin, dass Google nach der Umstellung von Chrome auf Blink selbst mit hundert Entwicklern den Support für WebKit nicht mehr garantieren konnte und deswegen eingestellt habe.

Laut Googles eigener Statistik läuft nur auf 39,1 Prozent aller Android-Geräte, die auf den Play Store zugreifen, Android 4.4 KitKat und damit eine gepatchte WebView-Version. Android 4.3, 4.2.x und 4.1.x JellyBean kam Anfang Januar noch auf einen Anteil von 46 Prozent, Android 4.0 Ice Cream Sandwich auf 6,7 Prozent und Android 2.3.x Gingerbread auf 7,8 Prozent. Für Android 2.2 Froyo, das noch auf 0,4 Prozent aller Geräte zum Einsatz kommt, empfiehlt sich indes Opera Mini als Alternative zum namenlosen Android-Browser.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Browser, Chrome, Firefox, Google, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Google wird Browser-Lücke in Android 4.3 nicht stopfen

Kommentar hinzufügen
  • Am 26. Januar 2015 um 15:47 von q.e.d.

    Im Klartext: 60% der Anroiden, d.h. 1 Milliarde (!) Geräte erhalten dieses Fix nicht, und stellen für sich und andere ein Sicherheitsrisiko dar.

    Mit einer kurzen Erklärung erklärt Google diese 1 Mrd Androiden zu Schrott. Mit dieser Sicherheitslücke sollte man de facto nicht mehr mit dem Gerät online sein. Nd ein Smartphone ohne Internetzugang ist … bestenfalls ein MP3 Player. ;-)

    Toll, Google, ihr tut was! ;-)

    Das ist, wie jemand bei heise schrieb, die dezenteste Art und Weise den Anwendern in Textform den gestreckten Zeigefinger zu präsentieren. ;-)

    Chappeau! Und nun: wer kein Android 4.4 und neuer besitzt, los, los, neu kaufen! ;-)

    • Am 26. Januar 2015 um 18:32 von WalterJunge

      Habe ich glatt gemacht und meinem Kind ein WindowsPhone geholt.

    • Am 26. Januar 2015 um 19:02 von Judas Ischias

      He, Appel-Freund. Wo ist denn für dich das Problem?
      Du kaufst dir doch eh nie im Leben einen Androiden. ;)

      Bleib weiter beim Obst, das ist ja sooo sicher, da werden solche Dinge bestimmt niiieee passieren. LOL (Selbstverständlich auch keine anderen Lücken) LOL

      Denn teuer ist ja immer besser als billig. ;)

      Wobei Du bestimmt nicht mal den Unterschied zwischen „billig“ und „preiswert“ kennst!

    • Am 27. Januar 2015 um 9:46 von Falsch

      Es ist keine Sicherheitslücke im Betriebssystem selbst, sondern im hauseigenen AOSP-Browser.
      Das zu einer allumfassenden Lücke hoch zu stilisieren, ist schlichtweg falsch. Indem man sich eines anderen Browsers bedient (und davon gibt es genügend Auswahl im Store), ist das Problem gegessen. Vielleicht wäre es ja sinnvoll, nicht sofort nach zwei Zeilen seinen Kommentar zu verfassen und den kompletten Artikel durch zu lesen?

      • Am 27. Januar 2015 um 9:57 von Richtig

        Du schreibst Unsinn. Lies den Artikel, und lerne. Da steht doch beschrieben, warum es NICHT hilft, einfach einen anderen Browser zu nutzen. Es gibt unzählige Apps, die den internen, fehlerhaften Browser nutzen, egal, welchen Browser Du sonst installierst. Das bedeutet, dass dann über die App Zugriff auf Daten möglich ist. Und man kann es kaum verhindern.

        Aber das ist halt wieder typisch: anderen Unwissen vorwerfen, und selber am Lesen scheitern. ;-)

        [Tipp: lies den vorletzten Abschnitt erneut, und wenn Du ihn nicht verstehst – frag hier um Rat.]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *