Google wird Browser-Lücke in Android 4.3 nicht stopfen

Google hat bekräftigt, dass es keine Sicherheitsupdates mehr für die Komponente WebView in Android 4.3 und früher entwickelt. Gegenüber CNET bestätigte der Internetkonzern am Wochenende Aussagen von Adrian Ludwig, der bei Google für die Sicherheit von Android zuständig ist und auf Google+ angekündigt hatte, dass die derzeit bekannten Lücken ungepatcht bleiben.

WebView ist die Komponente von Android, die für die Darstellung von Web-Inhalten zuständig ist. Sie basiert auf der Rendering-Engine WebKit und steckt nicht nur im namenlosen Android-Browser, sondern wird von allen anderen Apps genutzt, die über keine eigene Browsertechnik verfügen. In Android 4.4 hat Google WebView auf Chromium umgestellt. Die entsprechende Variante basiert auf Chrome 30 inklusive der Rendering-Engine Blink und der JavaScript-Engine V8.

„Software aktuell zu halten, ist eine der größten Herausforderungen im Bereich Sicherheit“, schreibt Ludwig. Da die Browser-App auf einer Version der Browser-Engine WebKit basiere, die jetzt mehr als zwei Jahre alt sei, sei das Stopfen eines Lochs in Android 4.3 Jelly Bean und früher nicht mehr „mit Sicherheit möglich.“

Mit Android 4.4 KitKat habe Google die Sicherheit von WebView und des Browsers deutlich verbessert, ergänzte Ludwig. Seit Android 5.0 Lollipop sei Google zudem in der Lage, Updates für WebView nicht mehr ausschließlich über die Gerätehersteller, sondern direkt über Google Play zu verteilen. Zudem nehme die Zahl der Nutzer, die noch Android 4.3 und früher einsetzten, durch die Zahl derer, die auf Android 4.4 und neuer umstiegen, stetig ab.

Nutzern rät Ludwig, für das Anzeigen von Webinhalten einen Browser wie Chrome oder Firefox zu verwenden, der über Google Play aktualisiert wird. Chrome stehe für Android ab Version 4.0 zur Verfügung, und Firefox unterstütze sogar Android 2.3 und neuer. App-Entwickler sollten wiederum sicherstellen, dass ihre auf WebView basierenden Anwendungen nur Inhalte aus vertrauenswürdigen Quellen laden, also nur lokal gespeicherte Inhalte oder über eine sichere HTTP-Verbindung (HTTPS). Alternativ könnten Entwickler auch einen eigenen Renderer einsetzen, für den sie dann selber Sicherheitspatches bereitstellen könnten. Allerdings weist Ludwig auch darauf hin, dass Google nach der Umstellung von Chrome auf Blink selbst mit hundert Entwicklern den Support für WebKit nicht mehr garantieren konnte und deswegen eingestellt habe.

Laut Googles eigener Statistik läuft nur auf 39,1 Prozent aller Android-Geräte, die auf den Play Store zugreifen, Android 4.4 KitKat und damit eine gepatchte WebView-Version. Android 4.3, 4.2.x und 4.1.x JellyBean kam Anfang Januar noch auf einen Anteil von 46 Prozent, Android 4.0 Ice Cream Sandwich auf 6,7 Prozent und Android 2.3.x Gingerbread auf 7,8 Prozent. Für Android 2.2 Froyo, das noch auf 0,4 Prozent aller Geräte zum Einsatz kommt, empfiehlt sich indes Opera Mini als Alternative zum namenlosen Android-Browser.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de