Google wird Browser-Lücke in Android 4.3 nicht stopfen

Google hat bekräftigt, dass es keine Sicherheitsupdates mehr für die Komponente WebView in Android 4.3 und früher entwickelt. Gegenüber CNET bestätigte der Internetkonzern am Wochenende Aussagen von Adrian Ludwig, der bei Google für die Sicherheit von Android zuständig ist und auf Google+ angekündigt hatte, dass die derzeit bekannten Lücken ungepatcht bleiben.

WebView ist die Komponente von Android, die für die Darstellung von Web-Inhalten zuständig ist. Sie basiert auf der Rendering-Engine WebKit und steckt nicht nur im namenlosen Android-Browser, sondern wird von allen anderen Apps genutzt, die über keine eigene Browsertechnik verfügen. In Android 4.4 hat Google WebView auf Chromium umgestellt. Die entsprechende Variante basiert auf Chrome 30 inklusive der Rendering-Engine Blink und der JavaScript-Engine V8.

„Software aktuell zu halten, ist eine der größten Herausforderungen im Bereich Sicherheit“, schreibt Ludwig. Da die Browser-App auf einer Version der Browser-Engine WebKit basiere, die jetzt mehr als zwei Jahre alt sei, sei das Stopfen eines Lochs in Android 4.3 Jelly Bean und früher nicht mehr „mit Sicherheit möglich.“

Mit Android 4.4 KitKat habe Google die Sicherheit von WebView und des Browsers deutlich verbessert, ergänzte Ludwig. Seit Android 5.0 Lollipop sei Google zudem in der Lage, Updates für WebView nicht mehr ausschließlich über die Gerätehersteller, sondern direkt über Google Play zu verteilen. Zudem nehme die Zahl der Nutzer, die noch Android 4.3 und früher einsetzten, durch die Zahl derer, die auf Android 4.4 und neuer umstiegen, stetig ab.

Nutzern rät Ludwig, für das Anzeigen von Webinhalten einen Browser wie Chrome oder Firefox zu verwenden, der über Google Play aktualisiert wird. Chrome stehe für Android ab Version 4.0 zur Verfügung, und Firefox unterstütze sogar Android 2.3 und neuer. App-Entwickler sollten wiederum sicherstellen, dass ihre auf WebView basierenden Anwendungen nur Inhalte aus vertrauenswürdigen Quellen laden, also nur lokal gespeicherte Inhalte oder über eine sichere HTTP-Verbindung (HTTPS). Alternativ könnten Entwickler auch einen eigenen Renderer einsetzen, für den sie dann selber Sicherheitspatches bereitstellen könnten. Allerdings weist Ludwig auch darauf hin, dass Google nach der Umstellung von Chrome auf Blink selbst mit hundert Entwicklern den Support für WebKit nicht mehr garantieren konnte und deswegen eingestellt habe.

Laut Googles eigener Statistik läuft nur auf 39,1 Prozent aller Android-Geräte, die auf den Play Store zugreifen, Android 4.4 KitKat und damit eine gepatchte WebView-Version. Android 4.3, 4.2.x und 4.1.x JellyBean kam Anfang Januar noch auf einen Anteil von 46 Prozent, Android 4.0 Ice Cream Sandwich auf 6,7 Prozent und Android 2.3.x Gingerbread auf 7,8 Prozent. Für Android 2.2 Froyo, das noch auf 0,4 Prozent aller Geräte zum Einsatz kommt, empfiehlt sich indes Opera Mini als Alternative zum namenlosen Android-Browser.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago