Mobile Security

Sicherheitslücke: Kein Patch für alte Android Versionen
Kommentare

Google lässt seine User im Stich! Eine Sicherheitslücke, die alle Android-Versionen ab Android 4.3 Jellybean und älter betrifft, bleibt ungefixt. Die Software ist einfach zu alt und wohl nicht mehr von Interesse. Oder steckt dahinter schlichtweg eine neue Vertriebsstrategie?

In älteren Versionen von Android ist eine Sicherheitslücke im WebView aufgetaucht, doch Google hat offensichtlich kein Interesse mehr, diese zu schließen. Der Support scheint hier eingestellt zu sein.

Alle Versionen vor Android 4.4 von Sicherheitslücke betroffen

Sicherheitsexperte Tod Beardsley erklärt auf dem Rapid 7 Blog, dass alle User betroffen sind, die noch Versionen älter als Android 4.4 auf ihrem Smartphone installiert haben. Damit ist die Sicherheitslücke ziemlich weit verbreitet, denn laut Angaben von Android laufen noch über 60 Prozent aller Android-Geräte mit Versionen ab Android 4.3 und älter.

Support für den WebView eingestellt

Der WebView ist für die Darstellung von Inhalten im Browser zuständig. Vor allem Apps, die keine eigene Browsertechnik haben greifen auf den WebView zurück. Diese Komponente wird aber bei den neueren Android Versionen nicht mehr genutzt. Hier hat man bereits von WebView auf Chromium umgestellt, das auch vom Chrome Browser benutzt wird.

Keine Sicherheits-Updates mehr für ältere Android-Versionen

Beardsley habe von Google folgende Auskunft auf seine Anfrage, was denn jetzt gegen die Exploits unternommen wird, bekommen:

„Google will no longer be providing security patches for vulnerabilities reported to affect only versions of Android’s native WebView prior to 4.4. In other words, Google is now only supporting the current named version of Android (Lollipop, or 5.0) and the prior named version (KitKat, or 4.4). Jelly Bean (versions 4.0 through 4.3) and earlier will no longer see security patches for WebView from Google“.

Google selbst scheint also nichts gegen die Sicherheitslücke unternehmen zu wollen. Heißt das, alle Betroffenen müssen sich jetzt mit der Situation abfinden? Es werden jedenfalls keine Sicherheitsupdates kommen um diese zu patchen. Google informiert lediglich die Gerätehersteller über die Lücke. Sollte allerdings ein Patch von Seiten der Community kommen, wird Google diese an die Hersteller weiterleiten. So heißt es:

„If the affected version [of WebView] is before 4.4, we generally do not develop the patches ourselves but do notify partners of the issue[…] If patches are provided with the report or put into AOSP we are happy to provide them to partners as well.“

Es liegt allerdings dann in der Hand der Hersteller, ob die User ihr System fixen können.

Muss ein neues Smartphone her?

Laut Google solle man doch einfach auf die aktuellste Android-Version updaten, wenn man auf der sicheren Seite sein will. Ärgerlich nur, dass manche ältere Modelle die neuen Updates gar nicht mehr unterstützen oder sie vom Hersteller nicht angeboten werden. Das heißt dann wohl, dass man jetzt auch bei Google genötigt wird, sich ein neues Gerät anzuschaffen, weil das alte schlichtweg nicht mehr supported wird. Mit dieser Strategie bringt auch Apple seine Anhänger immer wieder dazu, sich mit der neusten Hardware auszustatten.

 

Aufmacherbild: team of robots via Shutterstock / Urheberrecht: charles taylor

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -