GoogleWatchBlog

Google lässt Sicherheitslücke in Android offen – 600 Mio. Nutzer betroffen

» Web-Version «

Seit einigen Tagen steht Google in Kritik, da man verkündet hatte, eine riesige Sicherheitslücke in Android nicht stopfen zu wollen. Diese befindet sich in der WebView-Komponente und kann relativ leicht ausgenutzt werden, einen vernünftigen Workaround dazu gibt es nicht. Obwohl etwa 700 Millionen Nutzer betroffen sind, weigert sich Google einen Patch dafür zu entwickeln und herauszugeben. Als Begründung gibt man an, dass man nur Updates für die letzten beiden Android-Versionen entwickelt.


Die Update-Faulheit der Smartphone-Hersteller und Netzbetreiber gilt seit jeher als eines der größten Probleme von Android und wird sich wohl so einfach nicht lösen lassen. Obwohl Google immer mehr Funktionen und Komponenten in die Play Services verlagert, die man selbst OTA aktualisiert, sind einige kritische Bereiche wie eben die betroffene WebView-Komponente weiter tief in das System integriert. Aus diesem Grund dürfte man wohl auch ein Patch dieser Lücke ablehnen, da die Hersteller diese wohl ohnehin nicht an die Nutzer weitergeben.

Viele Apps setzen zur Monetarisierung des Angebots auf eingeblendete Werbebanner, die eben über die WebView-Komponente angezeigt werden. Diese kann allerdings im schlimmsten Falle viele persönliche Daten aus dem Browserverlauf, den gespeicherten Cookies und evtl. sogar den eingegebenen Passwörtern und Daten verraten und ausgelesen werden. Da nahezu jeder Nutzer wohl eine App mit einer solchen Werbeanzeige installiert hat, sind potenziell ALLE Nutzer betroffen – sofern diese Lücke denn ausgenutzt wird. Aufgrund der aktuellen Entwicklung darf man aber davon ausgehen, dass diese Lücke nun in den Fokus der Hacker rücken wird.

Betroffen sind alle Android-Versionen bis 4.3 Jelly Bean – und damit mehr als 60 Prozent aller derzeitigen Android-Installationen. Da Google selbst keinen Patch für die Komponente entwickeln wird, empfiehlt man den Nutzern den Wechsel auf einen anderen Browser. Da dies aber nichts an der verwendeten Komponente zur Anzeige von Webinhalten in den Apps ändert, darf man sich schon fragen, ob Google diesen Tipp tatsächlich ernst meint. Das Problem ist damit lange nicht gelöst und der Nutzer, sofern er denn von dieser Lücke gehört hat, könnte sich in trügerischer Sicherheit wiegen. Natürlich würden dadurch keine persönlichen Daten mehr gesammelt die ausgelesen werden könnten, aber ohne ein komplettes Löschen all dieser Daten aus dem Stock Browser hat es kaum eine Wirkung.

Auch für Entwickler hat Google einige Tipps parat, wie man zumindest die eigene App absichern kann: Als erstes sollte Content, also in den meisten Fällen die Werbebanner, nur über eine HTTPS-Verbindung geladen werden. Als weitere Maßnahme empfiehlt Google auch, dass der Entwickler einfach eine eigene Methode zum Rendern des Contents entwickeln soll – was bei der reinen Anzeige eines Werbebanners natürlich kein großes Problem sein wird. Bei Anzeige eines Support-Dokuments mit Formatierungen & Co. hingegen muss der Entwickler schon einen eigenen kleinen Browser entwickeln.



Die betroffenen Android-Versionen sind im besten Falle gerade einmal 2 Jahre alt, sind für Google aber zu veraltet um diese weiter zu supporten. Damit macht man sich natürlich nicht beliebt und Android als Betriebssystem erntet jede Menge negatives Feedback. In den vergangenen Wochen hatte Google mit Sicherheitslücken in Windows und auch Mac OS nur so um sich geworfen und sich damit ebenfalls nicht gerade beliebt gemacht. Dass man nun selbst eine Lücke im eigenen System offen lässt, ist dann noch schwerer zu verstehen…

» Posting bei Google+


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren