Google hat bekräftigt, dass es keine Sicherheitsupdates mehr für die Komponente WebView in Android 4.3 und früher entwickelt. Gegenüber CNET bestätigte der Internetkonzern am Wochenende Aussagen von Adrian Ludwig, der bei Google für die Sicherheit von Android zuständig ist und auf Google+ angekündigt hatte, dass die derzeit bekannten Lücken ungepatcht bleiben.
WebView ist die Komponente von Android, die für die Darstellung von Web-Inhalten zuständig ist. Sie basiert auf der Rendering-Engine WebKit und steckt nicht nur im namenlosen Android-Browser, sondern wird von allen anderen Apps genutzt, die über keine eigene Browsertechnik verfügen. In Android 4.4 hat Google WebView auf Chromium umgestellt. Die entsprechende Variante basiert auf Chrome 30 inklusive der Rendering-Engine Blink und der JavaScript-Engine V8.
„Software aktuell zu halten, ist eine der größten Herausforderungen im Bereich Sicherheit“, schreibt Ludwig. Da die Browser-App auf einer Version der Browser-Engine WebKit basiere, die jetzt mehr als zwei Jahre alt sei, sei das Stopfen eines Lochs in Android 4.3 Jelly Bean und früher nicht mehr „mit Sicherheit möglich.“
Mit Android 4.4 KitKat habe Google die Sicherheit von WebView und des Browsers deutlich verbessert, ergänzte Ludwig. Seit Android 5.0 Lollipop sei Google zudem in der Lage, Updates für WebView nicht mehr ausschließlich über die Gerätehersteller, sondern direkt über Google Play zu verteilen. Zudem nehme die Zahl der Nutzer, die noch Android 4.3 und früher einsetzten, durch die Zahl derer, die auf Android 4.4 und neuer umstiegen, stetig ab.
Nutzern rät Ludwig, für das Anzeigen von Webinhalten einen Browser wie Chrome oder Firefox zu verwenden, der über Google Play aktualisiert wird. Chrome stehe für Android ab Version 4.0 zur Verfügung, und Firefox unterstütze sogar Android 2.3 und neuer. App-Entwickler sollten wiederum sicherstellen, dass ihre auf WebView basierenden Anwendungen nur Inhalte aus vertrauenswürdigen Quellen laden, also nur lokal gespeicherte Inhalte oder über eine sichere HTTP-Verbindung (HTTPS). Alternativ könnten Entwickler auch einen eigenen Renderer einsetzen, für den sie dann selber Sicherheitspatches bereitstellen könnten. Allerdings weist Ludwig auch darauf hin, dass Google nach der Umstellung von Chrome auf Blink selbst mit hundert Entwicklern den Support für WebKit nicht mehr garantieren konnte und deswegen eingestellt habe.
Laut Googles eigener Statistik läuft nur auf 39,1 Prozent aller Android-Geräte, die auf den Play Store zugreifen, Android 4.4 KitKat und damit eine gepatchte WebView-Version. Android 4.3, 4.2.x und 4.1.x JellyBean kam Anfang Januar noch auf einen Anteil von 46 Prozent, Android 4.0 Ice Cream Sandwich auf 6,7 Prozent und Android 2.3.x Gingerbread auf 7,8 Prozent. Für Android 2.2 Froyo, das noch auf 0,4 Prozent aller Geräte zum Einsatz kommt, empfiehlt sich indes Opera Mini als Alternative zum namenlosen Android-Browser.
[mit Material von Seth Rosenblatt, News.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…