zurück zum Artikel

Millionen Android-Geräte mit Sicherheitslücken auf Lebenszeit

Google - Android

(Bild: dpa, Christof Kerkmann)

Eine Kernkomponente von Android wird auf Geräten mit älteren Versionen nicht mehr mit Patches versorgt. Dabei ist vor allem deren Standardbrowser Einfallstor für Angreifer.

Google will Sicherheitslücken im bis Android 4.3 genutzten Standard-Browser von Android – genauer gesagt in dessen WebView-Komponente [1] – nicht mehr stopfen. Als Grund gibt das Android-Sicherheitsteam an, dass Google keine Drittanbietergeräte mehr zertifiziert, die den alten Browser als Standard verwenden. Aktuell sind dem Sicherheitsexperten Tod Beadsley elf mögliche Angriffspunkte im WebView-Modul bekannt, wie dieser in einem Metasploit-Blog-Posting mitteilte [2]. In der Vergangenheit wurden derartige Schwachstellen immer wieder für Angriffe genutzt [3].

Das Webview-Modul ist die Kernkomponente des alten Browsers mit dem blauen Weltkugel-Icon. Doch auch andere Apps setzen die Komponente ein [4] und vergrößern so das Risiko eines Angriffs. Mit Android 4.4 wurde das Modul gegen eine auf Chromium aufbauende, überarbeitete Variante ausgetauscht und Chrome als Standard-Browser eingestellt. Google zufolge sind aber noch fast 61 Prozent der sich im Umlauf befindlichen Android-Geräte von den Sicherheitslücken betroffen, denn erst 39 Prozent haben Android 4.4 oder höher installiert.

Wer seine Android-Version nicht updaten will oder aufgrund von Restriktionen kann, sollte auf einen alternativen Browser umsteigen, etwa die aktuelle Chrome-Version. Auf alle Webview-basierten Apps zu verzichten ist wiederum praktisch unmöglich, denn die Komponente wird in der Regel auch für Werbeeinblendungen genutzt und derartig finanzierte Anwendungen wären nicht nutzbar. Anwender von Android 5.0 haben zudem die Möglichkeit, die Webview-Komponente selbstständig zu aktualisieren [5]. (des [6])


URL dieses Artikels:
http://www.heise.de/-2517130

Links in diesem Artikel:
[1] http://developer.android.com/reference/android/webkit/WebView.html
[2] https://community.rapid7.com/community/metasploit/blog/2015/01/11/google-no-longer-provides-patches-for-webview-jelly-bean-and-prior
[3] https://www.heise.de/meldung/Ungestopftes-Datenleck-in-Androids-Open-Source-Browser-2391930.html
[4] https://www.heise.de/meldung/Android-Geraete-anfaellig-fuer-Angriffe-ueber-Werbung-1969282.html
[5] http://www.androidpolice.com/2014/10/19/lollipop-feature-spotlight-webview-now-unbundled-android-free-auto-update-google-play/
[6] mailto:des@heise.de