Google lässt Sicherheitslücken in älteren Android-Versionen ungepatcht – 930 Millionen Nutzer betroffen

Google hat offenbar den Support für ältere Versionen der Android-Komponente WebView eingestellt. Laut Tod Beardsley, Sicherheitsforscher bei Rapid7, sind davon alle Nutzer von Android 4.3 Jelly Bean und früher betroffen. Android-Versionen vor 4.4 KitKat haben allerdings immer noch einen Anteil von mehr als 60 Prozent. Damit erhieten mehr als 930 Millionen Android-Geräte keine Sicherheitsupdates mehr von Google, schreibt Beardsley in einem Blogeintrag.

WebView ist die Komponente von Android, die für die Darstellung von Web-Inhalten zuständig ist. Sie basiert auf der Rendering-Engine WebKit und steckt nicht nur im namenlosen Android-Browser, sondern wird von allen anderen Apps genutzt, die über keine eigene Browsertechnik verfügen. In Android 4.4 hat Google WebView auf Chromium umgestellt. Die entsprechende Variante basiert auf Chrome 30 inklusive der Rendering-Engine Blink und der JavaScript-Engine V8.

„Wenn die betroffene Version von WebView älter als 4.4 ist, entwickeln wir generell selber keine Patches“, zitiert Beardsley aus der Antwort eines Google-Mitarbeiters zu einer kürzlich neu eingereichten Schwachstelle in WebView mit. Google prüfe gerne von der Community entwickelte oder in das Android Open Source Project integrierte Patches. Gerätehersteller könne es aber lediglich über die Lücken und die Verfügbarkeit eines Fixes informieren.

Ob ein solcher Patch dann auch ausgeliefert wird oder nicht, liegt laut Google allein in der Verantwortung der Gerätehersteller. Ein Grund dafür ist, dass Google erst mit Android 5.0 Lollipop den Browser und damit auch WebView vom Betriebssystem getrennt hat und damit Updates über den Google Play Store ermöglicht.

„Im vergangenen Jahr haben der unabhängige Forscher Rafay Baloch und Joe Vennix von Rapid7 fast routinemäßig Android-WebView-Exploits herausgebracht“, so Beardsley weiter. Das von Rapid7 angebotene Toolkit Metasploit enthalte alleine elf Exploits, die Android 4.3 und früher betreffen. Die letzte WebView-Lücke, einen Cross-Site-Scripting-Bug, habe Google mit dem letzten offiziellen Jelly-Bean-Update im Oktober 2013 geschlossen.

Google zufolge gilt das Support-Ende allerdings nur für WebView und nicht generell für ältere Android-Versionen. Komponenten wie beispielsweise die Multi-Media-Player sollen weiterhin Updates erhalten.

Seine Entscheidung hat Google gegenüber Rapid7 damit begründet, dass es keine neuen Geräte mit dem namenlosen Android-Browser mehr zertifiziert. Zudem sei „der beste Weg, sicherzustellen, dass Android-Geräte sicher sind, sie auf die neueste Android-Version zu aktualisieren“.  Das dürfte einem Geräteneukauf entsprechen, da die meisten Hersteller Softwareupdates auf Android 5.0 nur für die neuesten Modelle planen. Vermutlich geht es Google aber auch darum, nicht zwei unterschiedliche Rendering-Engines zu pflegen, da WebView in Android 4.3 und früher auf WebKit basiert – im Gegensatz zu WebView in Android 4.4 und neuer, das Googles WebKit-Fork Blink nutzt.

Beardsley weist zudem darauf hin, dass Google für den Support oder Lebenszyklus von Android keinerlei Richtlinien veröffentlicht habe. „Google könnte morgen entscheiden, den Support für KitKat einzustellen, was allerdings Selbstmord wäre. Allerdings würde ich auch davon ausgehen, dass die Einstellung des Supports für 60 Prozent der Nutzerbasis einem Selbstmord gleichkommt, aber genau das haben wir hier“, ergänzte Beardsley.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de