c't 6/2016
S. 180
Know-how
Sicherheitsrisiko Android WebView

Android-Sicherheitsrisiko selbstgemacht

Eine Fehlkonfiguration des ab Android 5 ausgelagerten Browser-Moduls WebView verhindert wichtige Updates

Haben Sie Ihr Android-Smartphone bei der Einrichtung erst mal gründlich entrümpelt, weil es der Hersteller mit einem Haufen unnützer Apps vollgestopft hat? Dann sollten Sie überprüfen, ob Sie dabei nicht übers Ziel hinausgeschossen sind und Schadsoftware ein Einfallstor geöffnet haben.

Android System WebView ist eine App mit einem offiziell klingenden Namen, bei deren Aufruf nichts passiert – scheinbar also wichtigtuerische Bloatware, die man deinstallieren oder deaktivieren will. Doch das ist nicht empfehlenswert: Ganz im Gegenteil erhöht die App die Systemsicherheit durch ihre pure Anwesenheit. Sie stellt nämlich anderen Apps eine aktuelle Browser-Engine ohne bekannte Sicherheitslücken bereit.

Die ab Android 5 vorhandene App „Android System WebView“ sollte aktiv bleiben. Die Knöpfe „Deaktivieren“ und „Aktualisierungen deinstallieren“ im Anwendungs-Manager verschlechtern Ihr System.

Ein grundsätzliches Problem von Android besteht darin, dass sich einzelne Teile des Betriebssystems nicht aktualisieren lassen. Anders als Microsoft bei Windows kann Google nicht direkt einen Patch verteilen, sondern muss die Gerätehersteller und teils sogar Mobilfunk-Provider mit ins Boot holen. Das dauert im besten Fall viele Wochen, im schlechtesten Fall bekommen Geräte gar keinen Patch.

Kommentare lesen (5 Beiträge)