2041555

Google schließt Lücke in älteren Android-Versionen nicht mehr

26.01.2015 | 14:33 Uhr |

Wer eine ältere Androidversion bis einschließlich Versionsnummer 4.3 verwendet, sollte nicht mehr den Android-Browser benutzen. Sondern stattdessen auf Chrome oder Firefox umsteigen. Das empfiehlt Google. Ein gravierendes Sicherheitsproblem,das durch diese Webview-Lücke entsteht, wird damit aber nicht gelöst.

Der Google-Entwickler Adrian Ludwig hat via Google+ mitgeteilt, dass Google bestimmte Sicherheitslücken in älteren Android-Versionen nicht mehr schließen werde (damit bestätigt er einen älteren Bericht, dass Google keine Webview-Patches mehr für ältere Androidversionen zur Verfügung stellen werde). Weil immer mehr Benutzer einer älteren Android-Version entweder ein Update vornehmen würden (sofern überhaupt ein Update für ihren Androiden zur Verfügung steht) oder sich ein neues Geräte kaufen würden. Deshalb sinkt Ludwig zufolge mit jedem Tag die Zahl der Android-Nutzer, die von einer Sicherheitslücke in einer älteren Androidversion betroffen seien.

Webview ist der Wurm drin

Das konkrete Beispiel, auf das sich Ludwig bezieht, steckt in Androids Webview-Funktion. Damit stellen Android-Apps Webinhalte dar, aber auch der alte Android-Browser nutzt Webview. Die Schwachstelle betrifft Android von Android 4.3 (Jelly Bean) abwärts. Über diese Sicherheitslücke können Angreifer an Daten des Benutzers gelangen.

Chrome und Firefox statt Android-Browser verwenden

Und wie sollen sich nun Benutzer einer älteren Androidversion schützen (wenn sie beispielsweise kein Android-Update mehr zur Verfügung gestellt bekommen)? Ludwig empfiehlt solchen Anwendern nicht mehr den in Android eingebauten Browser zu verwenden, sondern stattdessen Chrome oder Firefox – beide würden direkt über Google Play aktualisiert. Besonders Firefox sei für Benutzer älterer Androidversion interessant, weil er Android bis hinab zu Version 2.3 unterstütze.

Das an sich klingt ja schon etwas merkwürdig – schließlich rät Google also statt den eigenen Browser den von Mozilla zu benutzen. Vor allem aber wird damit nicht das Problem gelöst, dass ja auch viele Apps die Webview-Funktion verwenden. Die dadurch verursachte Sicherheitslücke steht weiterhin weit offen. Und davon sind rund 60 Prozent aller Android-Nutzer betroffen – denn so viele Anwender verwenden noch eine Androidversion vor Android 4.4.

Googles rigoroses Vorgehen gilt aber nur für Webview und den Android-Browser. Für andere Anwendungen von Android will Google auch weiterhin Updates für ältere Betriebssystemversionen zur Verfügung stellen.

Alle Androidversion ab Android 4.4 Kitkat sind von der Webview-Schwachstelle nicht betroffen, weil Webview hier auf Chromium basiert und Chrome als Standard-Browser verwendet.

0 Kommentare zu diesem Artikel
2041555