Google lässt schwere Android-Lücke ungepatcht – 1 Milliarde Geräte betroffen

Google pisst ja dem Mitbewerb in Punkto Sicherheitslücken gerne mal vor die Füße. Nur im eigenen Hinterhof, da mag man nicht aufräumen. Hintergründe zum Thema, der Sicherheitslücke in Android 4.3 und mehr hier.

Tja, manche Sprünge geraten recht kurz. Vor wenigen Stunden hatte ich noch den Artikel Google-Microsoft Knatsch wegen Sicherheitslücke publiziert. Google hat Microsoft so richtig vorgeführt, indem man bereits am 31.12.2014 auf eine fette Sicherheitslücke in Windows 8.1 hinwies (siehe Artikel Google Mitarbeiter publiziert neue Windows-Sicherheitslücke). Und vorgestern hat man nochmal nachgelegt und gleich einen Exploit, mit dem sich die Lücke ausnutzen lässt, mit veröffentlicht. Und das, obwohl Microsoft die Lücke in wenigen Stunden schließen will. Der Bitte Microsofts, die Veröffentlichung um diese Karrenzzeit bis zum Patchday zurückzuhalten, hat Google nicht entsprochen – man wollte Microsoft eins auswischen.

Und nun kommt der nächste Klopper: In Androids Webview klafft eine kritische Sicherheitslücke, die kürzlich aufgedeckt wurde. Webview ist die Rendering-Engine in den Browsern, mit der Webseiten dargestellt werden können. Wie hier ausgeführt wird betrifft die Lücke “nur” Android 4.3 und ältere Versionen. In Android 4.4.x (Kitkat) ist die Lücke geschlossen. Nachdem Google ja nun Microsoft sicherheitstechnisch die Hosen runtergezogen hat, wäre ja naiverweise zu erwarten, dass es gleich einen Patch für die älteren Android-Versionen gibt. Ist aber nicht, wie hier ausgeführt wird.

If the affected version [of WebView] is before 4.4, we generally do not develop the patches ourselves, but welcome patches with the report for consideration. Other than notifying OEMs, we will not be able to take action on any report that is affecting versions before 4.4 that are not accompanied with a patch.

Mit anderen Worten: Es gibt keine Patches für das Problem bis Android 4.3 für Webkit. Tja, und geht man den verlinkten Artikel durch, gibt es für andere Android-Komponenten wie den Musik-Player auch für ältere Versionen Patches. Auch hatte ich kürzlich den Artikel Android 2.3 Gingerbread: lebt weiter, Update von Google im Blog, der beleuchtet, dass Google Apps selbst für das uralte Android 2.3 über Play Services Update für seine Apps ausrollt.


_Android1_2015
(Source: Android Developers)

Geht man in Googles eigenes Zahlenwerk (siehe auch Android-Verteilung im Januar 2015), stellt man fest, dass um die 60% der Android-Geräte mit den angreifbaren Versionen unterwegs sind. Und viele Geräte sind erst kürzlich ausgeliefert worden (Jellybean wurde vor 3 Jahren vorgestellt, nun gibt es keinen Support mehr). Man spricht von fast einer Milliarde Geräte, die von Google ungepatcht bleiben. So viel zum Thema: Auf Android kannst Du bauen – und mit iOS wäre das nicht passiert. Schätze unter diesem Aspekt ist Android künftig als “no go” Area einzustufen. (via)

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert