Google scheut Aufwand: Lücken in älteren Android-Versionen bleiben
Der Internetkonzern Google lässt derzeit von seiner Abteilung Project X reihenweise Sicherheitslücken in Microsoft- und Apple-Betriebssystemen veröffentlichen. Die erhöhte Aufmerksamkeit sorgt nun aber auch dafür, dass man sich Kritik am Umgang mit der Sicherheit älterer Android-Versionen gefallen lassen muss - denn eine bekannte Schwachstelle soll nicht geschlossen werden, weil Google nach eigenen Angaben den Aufwand scheut.
Adrian Ludwig, der bei Google für die Sicherheit von Android verantwortlich ist, bestätigte in einem Eintrag bei Google+, dass die jüngst diskutierte Schwachstelle in der Komponente WebView, die für die Darstellung von Web-Inhalten in Apps verwendet wird und Teil des alten ungebrandeten Browsers in Android 4.3 und älter ist, nicht mehr beseitigt werden soll. Google rate stattdessen dazu, auf aktuellere Browser zu wechseln, so Ludwig.
Der Entwickler gab an, dass es eine der größten Herausforderungen in Sachen Sicherheit sei, Software auf dem neuesten Stand zu halten. Weil man zur Beseitigung von Schwachstellen in WebView teilweise Eingriffe in Entwicklungszweige der WebKit-Engine vornehmen müsse, die zwei und mehr Jahre alt sind, ist aber die Gefahr groß, dass dadurch große Probleme im Zusammenhang mit anderem Code entstehen.
Es sei dadurch nicht mehr "praktikabel, dies auf eine sichere Art und Weise zu tun", also die Lücken ohne einen nicht gerechtfertigten Aufwand zu beseitigen. Ludwig stellte auch klar, wie er zu diesem Schluss kommt. Seiner Ansicht nach geht die Zahl der Nutzer, die in der Praxis von den Schwachstellen in WebKit bzw. WebView betroffen sind, durch die Verfügbarkeit neuerer, unanfälliger Versionen von Android "täglich zurück" und die Kunden nutzen neue Geräte oder aktualisieren auf jüngere Android-Ausgaben.
Außerdem gebe es umfangreiche Möglichkeiten für die Anwender, sich auch bei Verwendung älterer Android-Versionen vor einer Ausnutzung der Lücken zu schützen. Die Anwender sollen laut Ludwig entweder Google Chrome nutzen, der bei den meisten Android-Geräten jüngerer Baujahre grundsätzlich mit an Bord ist. Auch andere mobile Browser mit einer eigenen Rendering-Engine und möglichst auch einer ständigen Aktualisierung dieser Komponenten, kämen als Alternative in Frage.
Das eigentliche Problem ist allerdings, dass WebView von vielen Apps zur Darstellung von Web-Inhalten verwendet wird, ohne dass der Nutzer dies erkennen kann. Es liegt also an den App-Entwicklern, ihre Produkte möglichst mit einem eigenen oder einem alternativen Renderer zu versehen, um so einen Schutz vor der Ausnutzung in WebView enthaltener Lücken zu schaffen. Letztlich werden aber nicht alle Software-Anbieter ihre Apps auf den neuesten Stand bringen, so dass immer ein Restrisiko bleibt.
Verstärkend kommt hinzu, dass der Anteil der Tablets und Smartphones mit älteren und somit verwundbaren Versionen von Googles Betriebssystem weiterhin sehr hoch ist. Laut Googles eigenen Statistiken liegt der Marktanteil des sicheren Android 4.4 "KitKat" derzeit bei 39,1 Prozent. Das neue Android 5.0 "Lollipop" kommt laut den Anfang Januar veröffentlichten Zahlen auf weniger als 0,1 Prozent und taucht deshalb noch nicht einmal in der Statistik auf.
Auf mehr als 60 Prozent der Google bekannten Tablets in Händen der Kunden läuft also Android 4.3 oder älter. Da es sich somit um Milliarden von potenziellen Opfern handelt, könnten bei effektiver Ausnutzung der Schwachstellen auch große Nutzerzahlen betroffen sein. Experten kritisieren nun, dass Google mit seiner Einschätzung der Lage theoretisch eine Gefährdung zahlreicher Anwender in Kauf nimmt.
Der Entwickler gab an, dass es eine der größten Herausforderungen in Sachen Sicherheit sei, Software auf dem neuesten Stand zu halten. Weil man zur Beseitigung von Schwachstellen in WebView teilweise Eingriffe in Entwicklungszweige der WebKit-Engine vornehmen müsse, die zwei und mehr Jahre alt sind, ist aber die Gefahr groß, dass dadurch große Probleme im Zusammenhang mit anderem Code entstehen.
Es sei dadurch nicht mehr "praktikabel, dies auf eine sichere Art und Weise zu tun", also die Lücken ohne einen nicht gerechtfertigten Aufwand zu beseitigen. Ludwig stellte auch klar, wie er zu diesem Schluss kommt. Seiner Ansicht nach geht die Zahl der Nutzer, die in der Praxis von den Schwachstellen in WebKit bzw. WebView betroffen sind, durch die Verfügbarkeit neuerer, unanfälliger Versionen von Android "täglich zurück" und die Kunden nutzen neue Geräte oder aktualisieren auf jüngere Android-Ausgaben.
Außerdem gebe es umfangreiche Möglichkeiten für die Anwender, sich auch bei Verwendung älterer Android-Versionen vor einer Ausnutzung der Lücken zu schützen. Die Anwender sollen laut Ludwig entweder Google Chrome nutzen, der bei den meisten Android-Geräten jüngerer Baujahre grundsätzlich mit an Bord ist. Auch andere mobile Browser mit einer eigenen Rendering-Engine und möglichst auch einer ständigen Aktualisierung dieser Komponenten, kämen als Alternative in Frage.
Das eigentliche Problem ist allerdings, dass WebView von vielen Apps zur Darstellung von Web-Inhalten verwendet wird, ohne dass der Nutzer dies erkennen kann. Es liegt also an den App-Entwicklern, ihre Produkte möglichst mit einem eigenen oder einem alternativen Renderer zu versehen, um so einen Schutz vor der Ausnutzung in WebView enthaltener Lücken zu schaffen. Letztlich werden aber nicht alle Software-Anbieter ihre Apps auf den neuesten Stand bringen, so dass immer ein Restrisiko bleibt.
Verstärkend kommt hinzu, dass der Anteil der Tablets und Smartphones mit älteren und somit verwundbaren Versionen von Googles Betriebssystem weiterhin sehr hoch ist. Laut Googles eigenen Statistiken liegt der Marktanteil des sicheren Android 4.4 "KitKat" derzeit bei 39,1 Prozent. Das neue Android 5.0 "Lollipop" kommt laut den Anfang Januar veröffentlichten Zahlen auf weniger als 0,1 Prozent und taucht deshalb noch nicht einmal in der Statistik auf.
Auf mehr als 60 Prozent der Google bekannten Tablets in Händen der Kunden läuft also Android 4.3 oder älter. Da es sich somit um Milliarden von potenziellen Opfern handelt, könnten bei effektiver Ausnutzung der Schwachstellen auch große Nutzerzahlen betroffen sein. Experten kritisieren nun, dass Google mit seiner Einschätzung der Lage theoretisch eine Gefährdung zahlreicher Anwender in Kauf nimmt.
Thema:
Das Google Pixel 8 im Preisvergleich
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
- MatePad Pro Max: Huaweis neues Premium-Tablet im Test
- Pixel 10 vs. iPhone 17e: Die beiden Budget-Premiumgeräte im Vergleich
- Oscal PV800 Pro: Günstiger, heller Beamer mit Kompromissen im Test
- ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
- Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Fenster bricht im Flug, saugt Mann teilweise aus einer Ryanair-Maschine
- Galaxy Watch 9 & Ultra 2: Samsung setzt auf neue CPU & größere Akkus
- Suchtgefahr bei Facebook und Instagram: Die EU fordert neues Design
- Gigantische Explosion am Himmel: Schwarzes Loch zerreißt einen Stern
- Weekend-Deals: 13 Angebote bei Media Markt & Saturn, die sich lohnen
- Humanoide Roboter führen erstmals erfolgreich eine Operation durch
- PlayStation-Frust: Fast die Hälfte der Nutzer erwägt Wechsel zum PC
Videos
Neueste Downloads
Beliebte Nachrichten
Meist kommentierte Nachrichten
Forum
-
Diskussionsthread: Playstation 4
Venom316 - vor 2 Stunden -
ZimaOS - eines der einsteigerfreundlichsten NAS vielleicht....
d-hubs - Heute 10:22 Uhr -
Mecklenburg-Vorpommern wagt es - setzt sich ab von Microsoft
d-hubs - Vorgestern 18:23 Uhr -
Ventoy: das Tool zur Erstellung eines bootfähigen USB-Sticks
d-hubs - 07.07. 16:46 Uhr -
Home Assistant 2026.7 ::
d-hubs - 06.07. 14:38 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen