Android 4.3 und älter

Google lässt Sicherheitslücke in älteren Android-Versionen offen

Die Android-Komponente WebView weist in Android 4.3 sowie älteren Android-Versionen mehrere Sicherheitslücken auf. Google will diese jedoch nicht mehr schließen. Über 900 Millionen Android-Smartphones könnten davon betroffen sein.

Android 4.3 Jelly Bean

© Google

Android 4.3 Jelly Bean

WebView ist eine Komponente im Android-Betriebssystem, die für die Darstellung von HTML-Seiten verantwortlich ist. Sie kommt unter anderem im Android-Browser, aber auch in diversen Apps zum Einsatz. Sicherheitsexperten fanden nun heraus, dass die Version von WebView, die in Android 4.3 (Jelly Bean) und früheren Android-Versionen zum Einsatz kam, diverse Sicherheitslücken aufweist.

Tod Beardsley von Rapid7 spricht in einem Blogeintrag von elf Lücken, die bisher bekannt geworden sind. Betroffen wären davon laut seiner Rechnung über 930 Millionen Smartphones. Laut den monatlichen Statistiken von Google nutzen momentan rund 60% der Android-Nutzer Android 4.3 oder ältere Versionen, knapp 40% setzen auf Android 4.4 (KitKat). Die aktuellste Version Android 5.0 (Lollipop) wird bisher nur von 0,1% verwendet.

Dennoch will Google die Sicherheitslücken in der älteren WebView-Version nicht mehr selbst schließen. Beardsley zitiert die Antwort, die er von Google erhalten hat: "Wenn die betroffene Version von WebView älter ist als 4.4, entwickeln wir selbst generell keine Patches, informieren aber unsere Partner über das Problem." Weiter schreibt Google, dass sie Patches, die im Android Open Source Project entwickelt werden, gerne an die Gerätehersteller weitergeben.

Die Verantwortung für das Beheben solcher Sicherheitslücken sieht Google demnach eher bei den Geräteherstellern. Ein Grund dafür ist, dass WebView in den älteren Android-Versionen direkt ins Betriebssystem integriert ist und somit für einen Patch ein Update des gesamten Betriebssystems nötig wäre. Die Entscheidung, ob ein solches Update auf bestimmte Geräte überhaupt ausgespielt wird, liegt bei den jeweiligen Herstellern. 

Ab Android 4.4 (KitKat) kommt eine aktuellere Version von WebView auf Chromium-Basis zum Einsatz, die etwa auch der Chrome-Browser nutzt. Erst ab Android 5.0 (Lollipop) ist der Browser und damit auch WebView komplett vom Betriebssystem getrennt und kann somit über den Google Play Store aktualisiert werden. Google weist darauf hin, dass es keine neuen Geräte mehr zertifiziert, die den namenlosen Android-Browser, der hauptsächlich von den WebView-Lücken betroffen ist, nutzen. Außerdem sei der beste Weg, die Sicherheit eines Android-Gerätes zu gewährleisten, das Update auf die neueste Android-Version.

Damit sind vor allem die Gerätehersteller in der Pflicht, neue Android-Versionen schneller auf ihre Geräte auszurollen. Da viele Hersteller eigene Versionen des Betriebssystems entwickeln, müssen Updates zunächst daran angepasst werden. Gerade für ältere Modelle werden teils aus Kostengründen keine Updates mehr bereitgestellt, auch wenn dies technisch noch möglich wäre.

Mit der Entscheidung, keine Patches für die WebView-Sicherheitslücken mehr zu liefern, will Google möglicherweise Druck auf die Gerätehersteller ausüben, aktuellere Android-Versionen für ihre Geräte bereitzustellen. Dennoch bedeutet das für viele Android-Nutzer, deren Geräte sich nicht mehr updaten lassen, dass lediglich der Umstieg auf ein neues Smartphone Schutz vor diesem Sicherheitsrisiko bringt.

Auch interessant

Mehr zum Thema

Blackberry und Google, Kooperation
BES 12 für Android 5

Google und Blackberry wollen Android für Unternehmen sicherer machen. BES12 wird in Android Lollipop integriert.
Nexus 6
Schwere Sicherheitslücke

Eine Lücke in der Multimedia-Schnittstelle Stagefright erlaubt Hackern den Zugriff auf Android-Smartphones. 950 Millionen Smartphones sind bedroht.
Die besten Smartphones bis 300 Euro
Neuer Android-Bug

Bei Android gibt es eine weitere Sicherheitslücke. Manipulierte Videos können Smartphones zum Absturz bringen. Geräte ab Android 4.3 sind…
Nexus 5
Schutz vor Stagefright

Der Stagefright-Bug in Android ist seit Juli bekannt. Google startet heute den Bugfix an Nexus-Modelle. Die Telekom stoppt den automatischen Empfang…
Apps und TIpps für Antivirus, Antidiebstahl: Wir verraten, wie Sie Ihr Smartphone oder Tablet sichern können.
Android-Sicherheitslücke

Die Topmodelle von Samsung, Sony, HTC, Google und LG bekommen den Stagefright-Bugfix. Motorola bringt den Bugfix für's Moto E, Moto G und Moto X…
Alle Testberichte
Acer Switch Alpha 12
Detachable
75,4%
Das Acer Switch Alpha 12 ist das erste lüfterlose 2-in-1-Gerät mit Core-i-Prozessor. Im Test hinterlässt es einen…
Huawei P9 Plus
5,5-Zoll-Smartphone
88,0%
Huawei optimiert das P9 und heraus kommt ein echter Überflieger: Wir haben das Huawei P9 Plus getestet.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.