Android-Sicherheit: Kritik an Google wegen eingestelltem WebView-Support für ältere Androiden

Tuan Le 9

Google steht derzeit in der Kritik bei Sicherheitsexperten. Grund: Der Konzern will keine Updates mehr für Sicherheitslücken in der WebView-Komponente mehr auf Geräten beheben, die mit Android 4.3 oder älter laufen. Stattdessen verweist man auf die Gerätehersteller, die Patches zur Lösung der Probleme bereitstellen sollen — und lässt damit mehr als 60 Prozent der Android-Nutzer im Regen stehen. Tatsächlich gibt es aber auch einige plausible Gründe, weshalb die Mountain View sich mit dieser Haltung im Recht sieht.

Android-Sicherheit: Kritik an Google wegen eingestelltem WebView-Support für ältere Androiden

Vorweg zur Erklärung: Die WebView-Komponente spielt seit jeher eine zentrale Rolle, wenn es um die Anzeige von Webseiten in Android-Apps geht. Sie ist nicht nur wichtig, wenn Links innerhalb von Apps angezeigt werden sollen — manche Apps sind gar überwiegend in HTML entwickelt und damit im Kern eine Webseite mit einem darum gebauten WebView-Container. Ein Beispiel ist der alternative Facebook-Client Tinfoil.

Seit Android 4.4 KitKat ist die vormals aus dem Quellcode des Android Open Source Project (kurz: AOSP) übernommene WebView-Komponente durch eine neue, Chromium-basierte Version ersetzt worden, die zudem automatisch im Hintergrund aktualisiert wird.

Problematisch ist nun, dass Google offenbar keine weiteren Updates für die WebView-Komponente im AOSP für Geräte mit Android 4.3 Jelly Bean und älter plant. Angesichts der Tatsache, dass laut der Statistik zur Android-Versionsverteilung im Dezember somit ein Großteil der Android-Nutzer theoretisch auf die Ausbesserung von Sicherheitslücken verzichten müsste, erscheint die Einstellung von Google auf den ersten Blick schwer nachvollziehbar. Noch brisanter ist das aufgrund der Tatsache, dass WebView als Einfallstor für Schadcode gilt. Das Hacking-Framework Metasploit besitzt eigenen Angaben zufolge derzeit 11 funktionierende Exploits, mit denen aktive Sicherheitslücken in WebView ausgenutzt werden können.

Bilderstrecke starten
7 Bilder
Android 5.0: Die neuen Features im Überblick.

„Generell entwickeln wir die Patches nicht selbst.“

Explizit äußerte die Sicherheitsabteilung von Google das, als einige Nutzer Fehler und Sicherheitslücken in WebView für Geräte unter Android 4.3 Jelly Bean meldeten. Anstatt zu versichern, dass man sich das Problem ansehen und in absehbarer Zeit lösen werden, antwortete man wie folgt (deutsche Übersetzung von uns):

Wenn die betroffene Version der WebView älter als 4.4 ist, entwickeln wir generell die Patches nicht selbst, aber heißen eingereichte Patches willkommen und werden diese berücksichtigen. Abgesehen von einer Benachrichtigung der OEMs (gemeint sind die Gerätehersteller — d.Red.) sind wir nicht dazu in der Lage, Schritte aufgrund einer Fehlermeldung betreffend einer Version vor 4.4 einzuleiten, sofern die Meldung nicht gleich einen Patch beinhaltet.

Im Klartext bedeutet dies, dass Google die Fehlermeldungen nur noch an die Hardware-Hersteller weiterleitet und Patches nur dann integriert, wenn diese zusammen mit dem Fehlerbericht eingereicht werden. Es mutet ein wenig bizarr an, dass man von den Nutzern neben der Meldung von Fehlern auch unmittelbar einen dazugehörigen Patch fordert. Quintessenz ist jedoch, dass Google keine weiteren Ressourcen für die Entwicklung von WebView im AOSP mehr investieren möchte. Andere Software-Komponenten, wie zum Beispiel der Mediaplayer, sind vorerst jedoch nicht davon betroffen.

Jelly Bean ist schlichtweg zu alt

Es gibt verschiedene Argumente, mit denen Google diese Entscheidung zu rechtfertigen versucht. Zum einen werden tatsächlich keine neuen Geräte mehr zertifiziert, die noch den alten Android-Browser verwenden, sodass sämtliche neu erscheinenden Geräte mit der Chromium-basierten und aktualisierbaren WebView-Komponente ausgestattet sein sollten. Ebenso von Bedeutung sind womöglich wirtschaftliche Gesichtspunkte: Wenngleich ein Großteil der Android-Geräte noch mit Android 4.3 Jelly Bean oder älteren OS-Versionen läuft, sind fast sämtliche Flaggschiff-Smartphones der letzten Jahre mindestens auf dem Stand von Android 4.4 Kitkat und zumindest in dieser Hinsicht wirtschaftlich relevanter.

Das wichtigste Argument ist aber, dass Jelly Bean schlichtweg zu alt ist. Mittlerweile ist nach Android 4.4 KitKat bereits mit Android 5.0 Lollipop das zweite große Update nach Jelly Bean veröffentlicht worden. So gesehen ergibt es durchaus Sinn, dass Google die Behebung der Sicherheitslücken in der WebView unter Android 4.3 Jelly Bean den Geräteherstellern (und anderen AOSP-Kontributoren) überlässt: Anstatt Google die Schuld dafür zuzuschreiben, dass keine Updates für Komponenten aus der vorletzten Android OS-Iteration verteilt werden, könnte man die Schuld auch bei den Hardware-Herstellern suchen, die ihre Geräte nicht auf die aktuellste und sicherste Android-Version aktualisieren wollen. Es dürfte überdies schlicht kaum noch Geräte geben, die von den Herstellern auf eine Android-Version von 4.3 oder niedriger aktualisiert werden und die von entsprechenden AOSP-Patches profitieren würden. wir erinnern uns: Ab Android 4.4 erhalten Geräte die vom Betriebssystem unabhängig aktualisierte WebView-Komponente.

Weitere Vernachlässigung des AOSP durch Google

Android 5.0 Lollipop: Kritik an Vernachlässigung der Open Source-Apps Bild

Manche Kritiker sehen in der Aufgabe des Supports der WebView unter Jelly Bean – bis dahin noch basierend auf dem AOSP — allerdings einen weiteren Schritt in der systematischen Vernachlässigung des AOSP von Google. Gerade zum Release von Android 5.0 Lollipop wurde diese Kritik von vielen Entwicklern vorgebracht, da zum Beispiel der AOSP-basierte Kalender oder die SMS-Applikation zugunsten der entsprechenden Google Apps im Prinzip nicht mehr aktualisiert wurden.

Problematisch ist dies, da Android als von Google unabhängiges Betriebssystem zunehmend unattraktiv wird und Hardware-Hersteller demzufolge dazu gedrängt werden, eine Kooperation mit Google einzugehen. Aus unternehmerischer Sicht kann man Google keinen Vorwurf machen, dass die Entwickler-Ressourcen eher in die hauseigenen Dienste gesteckt werden und Android-Geräte ohne Google-Lizenz — etwa Amazons Fire-Linie — nun weniger von den eigenen Entwicklungen profitieren. Allerdings gerät der Open Source-Gedanke, auf dem Android ursprünglich beruhte, immer mehr ins Abseits.

Quelle: Wall Street Journal, Security Street Rapid via TechnoBuffalo

Zu den Kommentaren

Kommentare zu dieser News

* Werbung