Android: Scharfe Kritik an neuer Sicherheits-Policy von Google

13. Jänner 2015, 11:33
168 Postings

Keine Patches mehr für alte Webview-Versionen - Unternehmen unterstützt nur Android 4.4+

Die Update-Situation rund um Googles mobiles Betriebssystem Android ist ein steter Quell für Kontroversen. Meist geht es dabei um fehlende Aktualisierungen durch die Hersteller, nun kommt aber Google selbst in die Kritik. Hat sich das Unternehmen doch dazu entschlossen, für ältere Versionen des Android Webview keine Sicherheitspatches mehr zusammenzustellen.

Statement

Dies geht aus einer Reaktion der Google-Entwickler auf eine Sicherheitslücke in der für die Einbettung von Webinhalten in Apps genutzten Komponente hervor, die Sicherheitsexperte Todd Beardsley am Blog von Rapid7 offenlegt. Google unterstützt demnach nur mehr das neue, mit Android 4.4 eingeführte Chromium Webview. Für Fehler in älteren Versionen entwickle man hingegen keine eigenen Patches mehr, heißt es in einem Statement.

Kritik

Beardsley kritisiert diese Herangehensweise scharf. Dies sei als ob Microsoft bereits 2007 den Support für Windows XP eingestellt hätte. Besonders kritisch sei dies auch, da Android bis zur Version 4.3 laut Googles eigenen Statistiken noch immer auf rund 60 Prozent sämtlicher aktiv genutzten Geräte zu finden ist. Und diese seien einer recht realen Gefährdung ausgesetzt: Mittlerweile enthalte das Sicherheits-Tool Metasploit elf einfach zu nutzende Exploits für bekannte Lücken im Android Webview.

Update-Realität

Freilich übersieht Beardsley dabei einen entscheidenden Punkt: Google liefert nur die wenigsten Updates für Android selbst aus, dies ist eigentlich Aufgabe der diversen Hardwarehersteller. Bei den eigenen Geräte sorgt man - innerhalb des Support-Zeitraums - dafür, dass diese regelmäßig auf die neueste Android-Generation aktualisiert werden, womit das erwähnte Problem nicht schlagend wird.

Problematik

Aufgrund der zahlreichen Modifikationen durch die Hersteller bedeutet das Anbieten eines Patches zudem nicht, dass dieser auch so einfach übernommen werden kann. Zumal die Hersteller früher oftmals eigene Webview-Varianten zusammengestellt haben. Mittlerweile - konkret seit Android 4.4 - schreibt Google die Nutzung des offiziellen Chromium-Webviews für neue Geräte vor - so sie denn all die sonstigen Google-Services nutzen wollen. Und dieses wird in Zukunft über den Play Store auf dem aktuellen Stand gehalten, womit auch Sicherheitsfixes für alle Geräte ausgeliefert werden - unabhängig vom jeweiligen Hardwarehersteller.

Überlegungen

Trotzdem gibt es durchaus triftige Gründe, warum Google die eigene Herangehensweise noch einmal hinterfragen sollte: Das Anbieten von Patches für ältere Androidversionen heißt nämlich nicht zuletzt auch, dass das Unternehmen die Sicherheitslücke anerkennt, und Drittherstellern auf diesem Weg mitgeteilt wird, dass sie ein entsprechendes Update schmieden sollen - falls sie ihre Geräte schon nicht auf eine neuere Android-Generation bringen wollen. Ob diese dass dann auch machen, steht freilich auf einem anderen Blatt.

Eingeschränkt

Die neue Policy von Google scheint übrigens zumindest vorerst nur für das Webview zu gelten, wie auch Beardsley betont. Für andere Prä-Kit-Kat-Komponenten - wie etwa die Multimedia-Komponenten - will Google weiterhin Sicherheitspatches für ältere Android-Ausgaben schmieden. (apo, derStandard.at, 13.1.2015)

  • Google stellt keine Patches mehr für ältere Webview-Versionen zusammen - dies inkludiert alle "Jelly Bean"-Ausgaben.
    grafik: rapid7

    Google stellt keine Patches mehr für ältere Webview-Versionen zusammen - dies inkludiert alle "Jelly Bean"-Ausgaben.

Share if you care.