Die Debatte um fehlende Updates für Android 4.3 und ältere Versionen erhält neuen Zündstoff. Mittlerweile sind mehrere Sicherheitslücken bekannt, die die Nutzer gefährden. Unter anderem soll es laut dem Sicherheitsforscher Tod Beardsley möglich sein, ungefragt Apps aus dem Android-Store Google Play zu installieren. Angreifer können das ausnutzen, indem sie Smartphone- und Tablet-Besitzer auf manipulierte Websites locken, berichtet heise.

Apps aus Google Play installieren

Eine bereits bekannte Lücke betrifft die WebView-Komponenten im Android-Browser. Mittels Universal Cross Site Scripting (UXSS) können andere Dienste für den Nutzer unsichtbar geladen werden, sofern er eingeloggt ist. Dazu gehören etwa E-Mail-Dienste und - laut Tod Beardsley - auch die Webversion von Google Play.

Beardsley konnte über eine manipulierte Website eine App-Seite aus Google Play laden und die Software installieren. Dafür hat er das Metasploit Framework eingesetzt, das für Sicherheitstest entwickelt wurde. Daneben gibt es laut dem Sicherheitsforscher noch elf weitere Sicherheitslücken, über die beispielsweise eine Cookie-Datenbank geladen oder Befehle auf dem Android-Gerät ausgeführt werden können. Für mehrere dieser Lücken wurden bereits Exploits veröffentlicht.

Nur teilweise behoben

Laut heise wurde die Google Play-Lücke bis zur Android-Version 4.3 inzwischen zumindest soweit behoben, dass eine Fehlermeldung kommt, wenn eine manipulierte Seite geladen wird. Die UXSS-Lücke im Android-Browser würde aber weiterhin bestehen. Ein Patch dafür wird nicht nachgereicht. Nutzern von Android 4.3 und älteren Versionen empfiehlt Google alternative Browser wie Chrome oder Firefox zu nutzen.

Laut aktuellen Zahlen von Google sind die betroffenen Android-Versionen noch auf knapp 59 Prozent der Geräte installiert. (red, derStandard.at, 16.2.2015)