WebView: Google patcht Browser-Komponente vor Android 4.4 nicht mehr

Durch den eingestellten Support für WebView erhalten rund 930 Millionen Android-Nutzer keine Patches mehr von Google für Schwachstellen in der recht anfälligen Kernkomponente von Android. Gerätehersteller seien für die Auslieferung der Fixes verantwortlich.

Eine kürzlich neu eingereichte Sicherheitslücke in der recht anfälligen Android-Browser-Komponente WebView wird von Google in allen Versionen des OS vor 4.4 KitKat nicht mehr gepatcht. Bis Dato habe Google zumindest stets schnell reagiert, wenn eine neue Anfälligkeit in Android 4.3 entdeckt wurde. Das schreibt Tod Beardsley, Sicherheitsforscher bei Rapid7, in einem Blogeintrag.

Android 4.3 Jelly Bean (Bild: Google).

Einem Google-Mitarbeiter zufolge entwickelt der Internetkonzern generell selbst keine Patches für Schwachstellen in WebView, die 4.3 Jelly Bean oder frühere Android-Versionen betreffen. Google prüfe gerne von der Community entwickelte oder in das Android Open Source Project (AOSP) integrierte Fixes. Gerätehersteller könne es aber lediglich über die Lücken Anfälligkeiten und die Verfügbarkeit eines Patches informieren.

Ob ein solcher Patch dann auch ausgeliefert wird oder nicht, liegt laut Google allein in der Verantwortung der Gerätehersteller. Ein Grund dafür ist, dass Google erst mit Android 5.0 Lollipop den Browser und damit auch WebView vom Betriebssystem getrennt hat und damit Updates über den Google Play Store ermöglicht.

WebView basiert vor KitKat auf der Rendering-Engine WebKit und ist generell unter Android für die Darstellung von Web-Inhalten verantwortlich. Nicht nur der Standard-Browser verwendet diese Komponente, sondern auch jegliche App, die Webinhalte darstellt, aber über keine eigene Browsertechnik verfügt. WebView kommt grundlegend in allen Android-Versionen zum Einsatz. Mit KitKat nutzt WebView statt WebKit jedoch bereits Chromium, das auf Chrome 30, der Rendering-Engine Blink und der JavaScript-Engine V8 aufbaut.

“Im vergangenen Jahr haben der unabhängige Forscher Rafay Baloch und Joe Vennix von Rapid7 fast routinemäßig Android-WebView-Exploits herausgebracht”, schreibt Beardsley. Das von Rapid7 angebotene Toolkit Metasploit enthalte alleine elf Exploits, die Version 4.3 und früher betreffen. Die letzte WebView-Lücke, einen Cross-Site-Scripting-Bug, habe Google mit dem letzten offiziellen Jelly-Bean-Update im Oktober 2013 geschlossen.

Durch den offenbar eingestellten Support für WebView erhalten aktuell rund 930 Millionen Android-Nutzer von Google keine Patches mehr für diese und zukünftige Sicherheitslücken in der Kernkomponente von Android. Der Android-Statistik von Januar zufolge, die die Anteile der verschiedenen Android-Versionen auf Basis der Zugriffe auf den Play Store aufzeigt, laufen derzeit noch mehr als 60 Prozent aller Android-Smartphones mit einer älteren Version als KitKat.

Google zufolge gilt das Support-Ende allerdings nur für WebView und nicht generell für ältere Versionen des OS. Komponenten wie beispielsweise die Multi-Media-Player sollen weiterhin Updates erhalten.

Seine Entscheidung hat Google gegenüber Rapid7 damit begründet, dass es keine neuen Geräte mit dem namenlosen Android-Browser mehr zertifiziert. Zudem sei “der beste Weg, sicherzustellen, dass Android-Geräte sicher sind, sie auf die neueste Android-Version zu aktualisieren”.  Das dürfte häufig einem Geräteneukauf entsprechen, da die meisten Hersteller Softwareupdates auf Android 5.0 nur für die neuesten Modelle planen. Eine Alternative wäre die Installation eines Custom ROMs wie CyanogenMod, das auch Support für reine Reihe älterer Geräte bietet. Vermutlich geht es Google aber auch darum, nicht zwei unterschiedliche Rendering-Engines zu pflegen, da WebView in Android 4.3 und früher auf WebKit basiert – im Gegensatz zu WebView in Android 4.4 und neuer, das Googles WebKit-Fork Blink nutzt.

Beardsley weist zudem darauf hin, dass Google für den Support oder Lebenszyklus von Android keinerlei Richtlinien veröffentlicht habe. “Google könnte morgen entscheiden, den Support für KitKat einzustellen, was allerdings Selbstmord wäre. Allerdings würde ich auch davon ausgehen, dass die Einstellung des Supports für 60 Prozent der Nutzerbasis einem Selbstmord gleichkommt, aber genau das haben wir hier”, ergänzte Beardsley.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu WebView: Google patcht Browser-Komponente vor Android 4.4 nicht mehr

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *