Google scheut Aufwand: Lücken in älteren Android-Versionen bleiben

Der Internetkonzern Google lässt derzeit von seiner Abteilung Project X reihenweise Sicherheitslücken in Microsoft- und Apple-Betriebssystemen veröffentlichen. Die erhöhte Aufmerksamkeit sorgt nun aber auch dafür, dass man sich Kritik am Umgang mit der Sicherheit älterer Android-Versionen gefallen lassen muss - denn eine bekannte Schwachstelle soll nicht geschlossen werden, weil Google nach eigenen Angaben den Aufwand scheut. Adrian Ludwig, der bei Google für die Sicherheit von Android verantwortlich ist, bestätigte in einem Eintrag bei Google+, dass die jüngst diskutierte Schwachstelle in der Komponente WebView, die für die Darstellung von Web-Inhalten in Apps verwendet wird und Teil des alten ungebrandeten Browsers in Android 4.3 und älter ist, nicht mehr beseitigt werden soll. Google rate stattdessen dazu, auf aktuellere Browser zu wechseln, so Ludwig.

Der Entwickler gab an, dass es eine der größten Herausforderungen in Sachen Sicherheit sei, Software auf dem neuesten Stand zu halten. Weil man zur Beseitigung von Schwachstellen in WebView teilweise Eingriffe in Entwicklungszweige der WebKit-Engine vornehmen müsse, die zwei und mehr Jahre alt sind, ist aber die Gefahr groß, dass dadurch große Probleme im Zusammenhang mit anderem Code entstehen.

Es sei dadurch nicht mehr "praktikabel, dies auf eine sichere Art und Weise zu tun", also die Lücken ohne einen nicht gerechtfertigten Aufwand zu beseitigen. Ludwig stellte auch klar, wie er zu diesem Schluss kommt. Seiner Ansicht nach geht die Zahl der Nutzer, die in der Praxis von den Schwachstellen in WebKit bzw. WebView betroffen sind, durch die Verfügbarkeit neuerer, unanfälliger Versionen von Android "täglich zurück" und die Kunden nutzen neue Geräte oder aktualisieren auf jüngere Android-Ausgaben.

Außerdem gebe es umfangreiche Möglichkeiten für die Anwender, sich auch bei Verwendung älterer Android-Versionen vor einer Ausnutzung der Lücken zu schützen. Die Anwender sollen laut Ludwig entweder Google Chrome nutzen, der bei den meisten Android-Geräten jüngerer Baujahre grundsätzlich mit an Bord ist. Auch andere mobile Browser mit einer eigenen Rendering-Engine und möglichst auch einer ständigen Aktualisierung dieser Komponenten, kämen als Alternative in Frage.

Das eigentliche Problem ist allerdings, dass WebView von vielen Apps zur Darstellung von Web-Inhalten verwendet wird, ohne dass der Nutzer dies erkennen kann. Es liegt also an den App-Entwicklern, ihre Produkte möglichst mit einem eigenen oder einem alternativen Renderer zu versehen, um so einen Schutz vor der Ausnutzung in WebView enthaltener Lücken zu schaffen. Letztlich werden aber nicht alle Software-Anbieter ihre Apps auf den neuesten Stand bringen, so dass immer ein Restrisiko bleibt.

Verstärkend kommt hinzu, dass der Anteil der Tablets und Smartphones mit älteren und somit verwundbaren Versionen von Googles Betriebssystem weiterhin sehr hoch ist. Laut Googles eigenen Statistiken liegt der Marktanteil des sicheren Android 4.4 "KitKat" derzeit bei 39,1 Prozent. Das neue Android 5.0 "Lollipop" kommt laut den Anfang Januar veröffentlichten Zahlen auf weniger als 0,1 Prozent und taucht deshalb noch nicht einmal in der Statistik auf.

Auf mehr als 60 Prozent der Google bekannten Tablets in Händen der Kunden läuft also Android 4.3 oder älter. Da es sich somit um Milliarden von potenziellen Opfern handelt, könnten bei effektiver Ausnutzung der Schwachstellen auch große Nutzerzahlen betroffen sein. Experten kritisieren nun, dass Google mit seiner Einschätzung der Lage theoretisch eine Gefährdung zahlreicher Anwender in Kauf nimmt.