Android-Sicherheitslücke

Google verweigert Support für WebView

Florian Maier beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig. Er schreibt hauptsächlich für die Portale COMPUTERWOCHE und CIO.
Sicherheitslücken im Android-Browser und seiner Kernkomponente WebView werden von Google nicht beseitigt. Betroffen sind alle Versionen des Betriebssystems vor Version 4.4.

Wie Sicherheits-Experte Tod Beardsley heute in seinem Blog bekannt gibt, werden die vorhandenen Sicherheitslücken der Kernkomponente des Android-Standard-Browsers von Google nicht beseitigt. Betroffen sind alle Endgeräte, deren Android-Betriebssystem älter als Version 4.4 ist. Mehr als 930 Millionen oder rund 60 Prozent aller Android-Devices sind betroffen. Laut Beardsley klaffen innerhalb der Kernkomponente des Android-Browsers, Web View, elf Sicherheitslücken.

Android: JellyBean veraltet?

Von Beardsley auf die Umstände aufmerksam gemacht, teilte das Support-Team von Google mit, dass WebView-Versionen vor 4.4 von Google selbst nicht mehr mit Updates und Patches versorgt würden. Auch die weit verbreitete Android-Version 4.3 JellyBean, die noch auf rund 45 Prozent aller Endgeräte zum Einsatz kommt, wird mittlerweile als veraltet angesehen. Google empfiehlt den Nutzern ein Update auf die aktuelle Android-Version. Problematisch ist, dass viele Gerätehersteller und Netzbetreiber nur langsam auf die Update-Politik reagieren und neue Versionen des Betriebssystems oftmals erst nach Monaten - und teilweise auch nur für die neuesten Devices - zur Verfügung stehen. Millionen von Android-Nutzern werden also vorerst mit den Sicherheitslücken leben müssen.

Google wird Sicherheitslücken in WebView nicht selbst beheben.
Google wird Sicherheitslücken in WebView nicht selbst beheben.

Google: Kein Vorreiter beim Thema Sicherheit?

Wie Beardsley weiter mitteilt, könnten Experten selbst programmierte Patches an das Support-Team von Google zur Prüfung einreichen. Dennoch dürfte Googles Entscheidung, die Sicherheitslücken der alten WebView-Versionen nicht selbst zu beheben, für weitere Kritik an der Update-Politik des IT-Riesen sorgen. Auch Beardsley appelliert in seinem Blog an den Konzern: "Die Programmierer bei Google gehören oft zu den Besten in vielerlei Hinsicht, auch was die Entwicklung des Android-Betriebssystems angeht. Allerdings ist es äußerst besorgniserregend, dass man sich beim Thema IT-Sicherheit in einer solchen Weise aus der Verantwortung stiehlt."