Pre-KitKat-WebView: Google lässt Android-Security schleifen
Kommentare

Eine beunruhigende Nachricht für alle Android-Nutzer, die nicht auf eine der aktuellen Versionen des Betriebssystems setzen können: Sicherheitslücken in den WebViews vor Android KitKat werden wohl nicht mehr gefixt.

Eine beunruhigende Nachricht für alle Android-Nutzer, die nicht auf eine der aktuellen Versionen des Betriebssystems setzen können: Sicherheitslücken in den WebViews vor Android KitKat werden wohl nicht mehr gefixt. Was auf den ersten Blick nicht unbedingt wie ein all zu großes Problem wirkt – immerhin liegt das letzte Release von Android 4.3 Jelly Bean weit über ein Jahr zurück – könnte sich auf den zweiten Blick durchaus als düsterer Blick auf die Security-Gegenwart des mobilen Betriebssystems entpuppen.

WebView seit KitKat

Wie bereits erwähnt, wurde das letzte Jelly-Bean-Update (Android 4.3) im Oktober 2013 veröffentlicht und ist somit mittlerweile über ein Jahr alt. Die folgende Android-Version 4.4 KitKat brachte eine grundlegende Änderung mit sich: die WebView basierte ab diesem Zeitpunkt auf Chromium.

Eine weitere Neuerung kam dann mit Android 5.0 Lollipop. Hierin basiert die WebView nicht nur auf Chromium 37, was sich in zahlreichen neuen Features und Performancesprüngen wiederspiegelt, sondern ist darüber hinaus noch vom Betriebssystem entkoppelt. Google überlässt es nun dem Nutzer, die WebView über den Play Store zu aktualisieren.

Das ermöglicht auf der einen Seite zwar eine schnellere Aktualisierung der WebView-Funktionalitäten, auf der anderen Seite jedoch ist man nun als Entwickler auf den Nutzer angewiesen – es ist gefährlich, immer die neuesten Web-Features nutzen zu wollen, wenn man nicht mehr sicherstellen kann, dass der Nutzer auch eine bestimmte WebView-Version installiert hat.

Die WebView-Update-Strategie

Ab Lollipop ist das Update der WebView also kein Problem mehr; und zu einem großen Teil wurde diese Verantwortung dem Nutzer übertragen. Ein Update dient aber nicht nur dazu, neue Features oder Bugfixes nachzureichen – oft genug geht es auch darum, sicherheitsrelevante Schwachstellen zu fixen.

Genau hier wurde jedoch eine folgenschwere Entscheidung getroffen. Denn einem Blogpost von Tod Beardsley folgend, entwickelt man bei Google nicht mehr aktiv an Patches für die WebView – während andere Komponenten wie beispielsweise der MediaPlayer durchaus noch mit vom Android Security Team entwickelten, von neueren Versionen zurückportierten Patches rechnen könnten. Im Klartext bedeutet das:

Google’s reasoning for this policy shift is that they „no longer certify 3rd party devices that include the Android Browser,“ and „the best way to ensure that Android devices are secure is to update them to the latest version of Android.“ To put it another way, Google’s position is that Jelly Bean devices are too old to support — after all, they are two versions back from the current release, Lollipop.

Android-Versionsverbreitung als Schwachstelle

Sieht man sich die aktuelle Verbreitung der einzelnen Version von Android genauer an, wird das ganze Ausmaß der beschriebenen Situation deutlich. Beinahe zwei Drittel aller Android-Devices sind potenziellen Gefährdungen ausgeliefert.

Verbreitung der verschiedenen Android-Versionen Abb. 1: Aktuelle Versionsverteilung zeigt Gefährdungslage.

Den aktuellsten Zahlen zufolge sind also mindestens 60,9 Prozent der im Umlauf befindlichen Android-Devices mit einer WebView ausgestattet, die bei potenziellen neuen Gefährdungen nicht mehr aktualisiert wird.

Dieser Schritt zwingt Nutzer geradezu, auf eine aktuelle Version des Google-Betriebssystems umzusteigen – sofern das mit dem Device überhaupt möglich ist. Gerade bei alten Geräten und Android-Versionen ist es üblich, dass die Updates vom Handy-Hersteller oder dem Carrier kommen; ein Patch muss also ohnehin viele Hürden nehmen.

Auch wenn natürlich niemand von einem Unternehmen erwarten kann, den Support für eine Software über die Maßen zu gewährleisten, liegt auf der anderen Seite durchaus eine gewisse Verantwortung bei Google. Folgt man den von Gartner veröffentlichten Zahlen, kommt man zu dem Schluss, dass weit über 900 Millionen Android-Devices vom Suchmaschinengiganten als „Legacy“ angesehen werden. Eine ergiebige Plattform für potenzielle Angreifer, sobald neue Schwachstellen in den alten WebViews auftreten.

Im Moment befindet sich Android in einer schwierigen Übergangsphase. Die neuen Versionen der WebView können unabhängig vom Betriebssystem aktualisiert werden und stärken den Faktor Webtechnologien auf Android-Geräten somit immens.

„Alte“ Geräte, die aus verschiedensten Gründen nicht auf KitKat oder eine neuere Version von Android aktualisiert werden können, haben künftig jedoch ein Sicherheitsrisiko mehr.

Aufmacherbild: Medical bot with pill. Image contain clipping path von Shutterstock / Urheberrecht: Palto

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -