Menü
Update

Sicher surfen trotz Android 4.3

Der WebView-Bug von Android 4.3 könnte sich stärker auswirken als bisher bekannt. Auch wenn die Angriffsszenarien bisher nur theoretische Proof-of-Concepts sind, sollten Sie ein paar Vorsichtsmaßnahmen ergreifen.

Von
vorlesen Drucken Kommentare lesen 175 Beiträge
Sicher surfen trotz Android 4.3

Android nutzt bis einschließlich Version 4.3 eine alte Browser-Komponente mit vielen Sicherheitslücken, die Google nicht mehr ausbessern möchte. Problematisch daran ist, dass erstens nicht nur Browser diese Komponente nutzen, sondern auch viele Apps. Zweitens tauchen neue Angriffsszenarien gegen Android auf, die auch unverdächtige Apps gefährden. Noch nutzt niemand diese Lücken aus, doch Besitzer von Smartphones und Tablets mit Android 4.3 oder älter sollten sich Gedanken über Abhilfen machen. Mit unserem Android-Test können Sie überpürfen, ob Ihr Andoid-Gerät angreifbar ist.

Chrome oder Firefox sollte man als Default-Browser einstellen, damit andere Apps nicht den verbuggten "Browser" aufrufen.

Die einzige sichere Lösung ist der Umstieg auf Android 4.4 oder 5. Dort kommt eine WebView-Komponente auf Chrome-Basis zum Einsatz, die weniger Fehler aufweist und unabhängig vom Betriebssystem Updates bekommt. Wenn der Gerätehersteller ein Update auf 4.4 anbietet, sollten Sie das also aufspielen – allerdings fangen Sie sich damit Einschränkungen beim Zugriff auf die SD-Karte ein (siehe c't 3/15, S. 150).

Lässt Sie der Hersteller hängen, mag ein CustomROM eine Lösung sein, also ein selbst aufgespieltes Alternativ-Android. Für viele Geräte gibt es CustomROMs, eine gute Anlaufstelle ist CyanogenMod. Das ist aber nichts, was man mal eben schnell einspielt, sondern eine grundlegende Entscheidung. Selbst wenn alles glatt geht, müssen Sie Ihr Gerät dazu rooten sowie alle Apps und Einstellungen neu installieren. Sie verlieren unter Umständen die Hersteller-Garantie und müssen auf die Apps des Herstellers verzichten, die er nicht auch im Play Store anbietet – beides gerade bei älteren Geräten kein großer Verlust.

Wenn das Auswahlfenster der Browser fehlt: Unter Einstellungen /Apps den Browser suchen und "Standardeinstellungen zurücksetzen" antippen.

Wenn Sie kein 4.4 bekommen, müssen Sie mit der WebView-Lücke leben. Da es bisher noch keine echten Angriffe gibt, sondern nur Proof-of-Concepts, bleibt das ein kalkulierbares Risiko. Einige Vorsichtsmaßnahmen sind aber angebracht. Installieren Sie zuerst einen Browser mit eigenem Renderer, zum Beispiel Chrome oder Firefox. Damit sind Sie nicht mehr angreifbar, solange Sie diesen Browser benutzen.

Nach der Installation sollten Sie den Browser aus einer anderen App aufrufen, am einfachsten vielleicht durch Antippen eines Links in einer Mail. Dann fragt Android nach, welcher Browser per Default aufgerufen wird – wählen Sie dort den neuen aus und bestätigen Sie "immer". Fehlt die Frage, hatten Sie vielleicht schon mal einen anderen installiert. Suchen Sie dann in Einstellungen / Apps den Standard-Browser (zu finden im Reiter "Alle"), tippen Sie drauf und tippen den Knopf "Standardeinstellung zurücksetzen" unter "Standardmässig starten" an. Danach kommt die Auswahlbox beim nächsten Antippen eines Links wieder.

"Öffne Links immer über einen externen Browser" sollte man unter Android 4.3 anklicken. Diese Option der Facebook-App ist allerdings etwas versteckt.

Einige Apps bieten einen internen Browser zum Anzeigen von Websites und nutzen dazu vermutlich den kaputten WebView. Dazu gehören beispielsweise die Facebook-App und einige News- und RSS-Reader. Um darüber nicht angreifbar zu sein: Versuchen Sie, die App so einzustellen, dass sie einen externen Browser aufruft. Bei Facebook geht das über die "App-Einstellungen" im langen Menü, das sich beim Tippen des grauen Menüknopfs öffnet.

Gibt es so eine Einstellung nicht, sollten Sie in dieser App keine externen Links mehr aufrufen. Vielleicht können Sie sogar ganz auf die App verzichten und den entsprechenden Dienst nur noch per Mobilbrowser nutzen.

Die meisten Apps, die Werbebanner einblenden, dürften dafür ebenfalls WebView nutzen. Angriffe auf die Server, die solche Banner verbreiten, finden tatsächlich statt und zielen auf Windows-Lücken. Auf diese Weise wurden auch schon renommierte Seiten mit böswilligen Werbebannern unterminiert. Es reicht also nicht, dem App-Anbieter zu trauen, denn der Angriff findet möglicherweise außerhalb seines Einflussbereichs statt. Die einfachste Lösung ist, auf werbefinanzierte Apps zu verzichten oder die bezahlten Version zu kaufen.

Der WebView kommt auch zu vielen anderen Gelegenheiten in Apps zum Einsatz. Beispielsweise zeigen einige Apps ihre Versionshistorie oder Nutzerbedingungen an, indem sie eine Website vom Anbieter aufrufen; andere laden sozusagen als Hauptzweck Webinhalte nach. Auf den ersten Blick ist das ungefährlich, doch zwei Szenarien sind denkbar: Erstens könnte der Server des Anbieters gehackt werden. Zweitens können Angreifer den Datenverkehr in öffentlichen WLANs manipulieren, wenn er unverschlüsselt stattfindet.

Gegen das Mithorchen hilft eine Maßnahme, die bei Benutzung kritischer Apps in öffentlichen WLANs sowieso eine Überlegung wert ist: Surfen Sie nur per VPN. Richten Sie sich also entweder zu Hause einen VPN-Zugang ein (siehe c't 15/14, S. 76), fragen Sie die IT-Abteilung Ihres Arbeitgebers, oder schauen Sie sich bei kommerziellen VPN-Anbietern um. Eine weitere Lösung wäre, die kritischen WLANs zu vermeiden und per Mobilfunk ins Internet zu gehen. Gegen gehackte Anbieterserver hilft beides nicht.

Reparieren lässt sich die WebView-Lücke unter Android 4.3 nach unserem Wissen nicht. Selbst auf gerooteten Geräten ist uns keine Lösung bekannt, die Bugs zu fixen, WebView gegen eine neuere Version auszutauschen oder notfalls ganz lahm zu legen.

Auf gerooteten Geräten kann man sich Adblocker wie das Xposed-Modul MinMinGuard oder AdAway installieren, die vor korrumpierten Werbebannern schützen können. Darüber hinaus gibt es Firewalls, sogar die ohne Root auskommende "Firewall ohne Root" von Grey Shirts. Doch diese Tools wiegen einen in trügerischer Sicherheit, beispielsweise helfen die meisten Firewalls nur gegen ausgehende Verbindungen. Solange keine konkreten Exploits auftauchen, lässt sich die Wirksamkeit dieser Tools als Schutz nicht beurteilen, und daher sind sie die Mühe der Installation nicht wert.

Zusammengefasst, falls Sie auf Android 4.3 oder älter bleiben:

  • Überprüfen Sie auf unserer Test-Seite für Android-Smartphones, ob Ihre Geräte anfällig sind
  • Installieren Sie Firefox oder Chrome und stellen Sie ihn als Default-Browser ein. Testen Sie dann erneut.
  • Stellen Sie browsende Apps wie Facebook oder Google+ so ein, dass sie den externen Browser nutzen. Alternativ: Nutzen Sie solche Dienste im Browser statt per App.
  • Verzichten Sie auf Apps mit Werbebannern.
  • Surfen Sie in öffentlichen WLANs per VPN oder bleiben Sie lieber im Mobilfunknetz.

Update 4.2.2015: Verweis auf den Android-Test eingebaut. (jow)

Anzeige
Anzeige