Google will keinen Patch für Browser-Lücke in Android 4.3 bringen

Der für die Android-Sicherheit zuständige Google-Manager rät den Usern auf Chrome oder Firefox umzusteigen, da ihm nach der Support für die bereits etwas betagte WebKit-Version in der Komponente WebView nicht mehr garantiert werden kann.

Für die Komponente WebView, die für die Darstellung von Web-Inhalten zuständig ist, entwickelt Google für Android 4.3 und früher keine Sicherheitsupdates mehr. Das hat das Unternehmen jetzt bekräftigt. Der Internetkonzern bestätigte gegenüber CNET am Wochenende Aussagen von Adrian Ludwig, der bei Google für die Sicherheit von Android zuständig ist und auf Google+ angekündigt hatte, dass die derzeit bekannten Lücken ungepatcht bleiben.

(Bild: ZDNet.com)

(Bild: ZDNet.com)

WebView basiert auf der Rendering-Engine WebKit und steckt nicht nur im namenlosen Android-Browser, sondern wird von allen anderen Apps genutzt, die über keine eigene Browsertechnik verfügen. In Android 4.4 hat Google WebView auf Chromium umgestellt. Die entsprechende Variante basiert auf Chrome 30 inklusive der Rendering-Engine Blink und der JavaScript-Engine V8.

„Software aktuell zu halten, ist eine der größten Herausforderungen im Bereich Sicherheit“, schreibt Ludwig. Da die Browser-App auf einer Version der Browser-Engine WebKit basiere, die jetzt mehr als zwei Jahre alt sei, sei das Stopfen eines Lochs in Android 4.3 Jelly Bean und früher nicht mehr „mit Sicherheit möglich.“

Mit Android 4.4 KitKat habe Google die Sicherheit von WebView und des Browsers deutlich verbessert, ergänzte Ludwig. Seit Android 5.0 Lollipop sei Google zudem in der Lage, Updates für WebView nicht mehr ausschließlich über die Gerätehersteller, sondern direkt über Google Play zu verteilen. Zudem nehme die Zahl der Nutzer, die noch Android 4.3 und früher einsetzten, durch die Zahl derer, die auf Android 4.4 und neuer umstiegen, stetig ab.

Ludwig empfiehlt Nutzern, für das Anzeigen von Webinhalten einen Browser wie Chrome oder Firefox zu verwenden, der über Google Play aktualisiert wird. Chrome stehe für Android ab Version 4.0 zur Verfügung, und Firefox unterstütze sogar Android 2.3 und neuer. App-Entwickler sollten wiederum sicherstellen, dass ihre auf WebView basierenden Anwendungen nur Inhalte aus vertrauenswürdigen Quellen laden, also nur lokal gespeicherte Inhalte oder über eine sichere HTTP-Verbindung (HTTPS). Alternativ könnten Entwickler auch einen eigenen Renderer einsetzen, für den sie dann selber Sicherheitspatches bereitstellen könnten. Allerdings weist Ludwig auch darauf hin, dass Google nach der Umstellung von Chrome auf Blink selbst mit hundert Entwicklern den Support für WebKit nicht mehr garantieren konnte und deswegen eingestellt habe.

Laut Googles eigener Statistik läuft nur auf 39,1 Prozent aller Android-Geräte, die auf den Play Store zugreifen, Android 4.4 KitKat und damit eine gepatchte WebView-Version. Android 4.3, 4.2.x und 4.1.x JellyBean kam Anfang Januar noch auf einen Anteil von 46 Prozent, Android 4.0 Ice Cream Sandwich auf 6,7 Prozent und Android 2.3.x Gingerbread auf 7,8 Prozent. Für Android 2.2 Froyo, das noch auf 0,4 Prozent aller Geräte zum Einsatz kommt, empfiehlt sich indes Opera Mini als Alternative zum namenlosen Android-Browser.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Google will keinen Patch für Browser-Lücke in Android 4.3 bringen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *