Der heutige Tipp richtet sich an Besitzer eines Android-Geräts, welches noch mit einer älteren Software vor KitKat ausgestattet ist. Diese Geräte enthalten Sicherheitslücken, die durch Google nicht mehr geschlossen werden. Ich gebe Tipps, was man wissen und beachten sollte, um die Sicherheit zu verbessern.
Zuerst ein kurzer Blick auf die Frage, worum es überhaupt geht? Kern des Problems ist der Umstand, dass Googles Android-Betriebssystem in verschiedenen Versionen existiert und (im Gegensatz zu Apples iOS für iPhone und iPad) oft durch die Gerätehersteller nicht oder nur unzureichend aktualisiert wird. Die folgende Aufstellung der Verteilung der einzelnen Android-Versionen auf Geräten stammt aus diesem Blog-Beitrag von Januar 2015. Fast die Hälfte der Geräte läuft noch mit der älteren Jelly Bean-Android-Version. Man schätzt, dass insgesamt 1 Milliarde Geräte weltweit mit Android-Versionen vor 4.4 laufen.
(Source: Android Developers)
Man erkennt, dass die uralten 2.x Android-Versionen nur noch ganz wenig im Einsatz sind. Aber nur auf 39,1 % der Android-Geräte ist das vorletzte Android 4.4 (KitKat) installiert. Das aktuelle Android 5.0 (Lollipop) läuft auf weniger als 0,1 % der Geräte und kommt in der obigen Aufstellung noch überhaupt nicht vor.
Das fette Problem mit Android
Neben der oben skizzierten Versionsvielfalt (die Insider sprechen von Fragmentierung) bei Android gibt es ein weiteres Problem. In Betriebssystemen werden immer mal wieder Sicherheitsmängel gefunden, die sich nur durch Updates beheben lassen. So weit so gut oder so schlecht.
Apple stellt für seine iOS-Geräte (iPad, iPod, iPhone) möglichst immer die neueste Betriebssystemversion bereit (außer, die Gerät sind zu alt) und rollt auch innerhalb einer Betriebssystemversion häufiger Sicherheits-Updates aus.
Bei Android sieht es leider schlechter aus: Bei älteren Versionen und Geräten gibt es keine Updates auf neuere Android-Versionen und auch Sicherheits-Updates werden nicht ausgerollt. Google verspricht zwar seit Jahren Besserung – und bei Kitkat sowie dem neuen Lollipop sieht es diesbezüglich schon besser aus. Aber bei älteren Android-Geräten hängt man auf der vom Hersteller mal mit dem Gerät ausgelieferten Android-Version fest.
Sicherheitslücke in Android bis zur Version 4.3
Auf allen älteren Android-Geräten mit einer Software-Version bis einschließlich Android 4.3 gibt es bis zu 11 bekannte Sicherheitslücken (wahrscheinlich gibt es noch mehr). Diese Sicherheitslücken stecken in einer WebView genannten Darstellungskomponente, die vom Android-Browser und manchen Apps verwendet wird. Google hat kürzlich bekannt gegeben, diese Sicherheitslücken nicht mit einem Update schließen zu wollen. Der Aufwand ist wohl zu hoch und das Bereitstellen der Updates müsste durch die Gerätehersteller erfolgen (was i.d.R. nicht klappt).
Lange Rede, kurzer Sinn: Das Problem in dürren Worten auf den Punkt gebracht lautet: Eigentlich "alle Android Handys und Tablets mit Android bis zur Version 4.3 sind unsicher". Google hätte am liebsten, dass man dies Geräte entsorgt und sich ein neues Android-Handy oder Tablet holt.
Was kann ich als Anwender tun?
Ich weiß nicht, wie es Ihnen geht? Aber ich finde es schon etwas krass, ein noch gut funktionierendes Android-Gerät in die Altgeräte-Entsorgung zu geben, nur weil das Betriebssystem nicht mehr aktualisiert wird. Bei mir hält sich das Problem aber in Grenzen, da ich nur zwei solcher Geräte besitze (eines wird selten zum Telefonieren benutzt, das zweite liegt mit gesprungenem Display herum und wird nur zum Testen eingeschaltet).
Bei einem noch guten Gerät stellt sich die Frage, wie ich das Sicherheitsrisiko durch die alte Android-Version reduzieren kann? Die Überlegung: Wenn die vom Android-Browser genutzte WebView-Komponente angreifbar ist, muss ich schlicht auf deren Verwendung verzichten. Und das ist glücklicherweise recht einfach.
In obigem Foto sieht man die auf einem Medion Lifetab Tablet installierten Apps. Es gibt die App Browser mit der blauen Weltkugel. Und es gibt daneben den Google Chrome Browser. Beim obigen Gerät von Medion ist nach Updates bereits Android 4.4.4 Kitkat vorhanden, da ist der Browser sicher. Aber auf allen Geräten bis einschließlich Android 4.3 ist der "blaue" Browser unsicher. Wie man die Android-Version abfragt, beschreibe ich im Beitrag Alte Android-Geräte vor KitKat sicherer machen.
Was man wissen muss: Der Google Chrome-Browser verwendet kein WebView, sondern eine eigene Anzeigekomponente. Und man kann sich den Google Chrome Browser gratis aus dem Google Play Store beziehen und auf dem Android-Gerät installieren. Surft man also zukünftig mit der Google Chrome App, umgeht man das erwähnte Sicherheitsrisiko. Alternativ kann man auch die Firefox-App verwenden, da diese ebenfalls seine eigene Anzeigekomponente mitbringt.
Bleiben noch die Apps, die eventuell Werbung oder Webinhalte anzeigen. Hier sollte man überlegen, ob man diese Apps wirklich noch braucht, oder ob man diese deinstallieren kann. Den alten Android-Browser mit der blauen Weltkugel kann man zwar nicht deinstallieren, da dieser mit dem Gerät ausgeliefert wurde. Aber bei Bedarf kann man das Browser-Symbol vom Android Home-Screen löschen und durch das Google Chrome-Symbol ersetzen. Wie das geht, beschreibe ich ebenfalls in meinem Blog-Beitrag Alte Android-Geräte vor KitKat sicherer machen.
Halten wir fest: Durch Löschen von Apps und Verwendung eines alternativen Browsers kann man also die Sicherheit älterer Android-Geräte erhöhen. Zusätzlich empfiehlt sich die Installation einer Virenscanner-App. Ein paar weiterführende Hinweise, was man bezüglich Browser, App-Deinstallation und Virenscanner tun kann und wie man das Gerät einrichtet, finden Sie in meinem bereits erwähnten Blog-Beitrag Alte Android-Geräte vor KitKat sicherer machen.
Ich werde hier im Blog zukünftig immer mal wieder Sicherheitstipps zu Android und ggf. iOS geben, da ich neben meinen iPad-Büchern für Senioren (siehe rechte Spalte) momentan an einem solchen Buch zu Android schreibe. Meine Blogs sind daher auch immer so etwas wie eine Ergänzung zu meinen Computerbüchern. In dieser Hinsicht: Weiterhin viel Spaß mit Ihren Android-Geräten und vor allem: Sicher bleiben!
Nachtrag: Bei heise.de ist nun auch ein Beitrag erschienen, der für Kenner noch ein paar Zusatzinfos bringt.
1: http://www.heise.de/newsticker/meldung/Sicher-surfen-trotz-Android-4-3-2552659.html
Pingback: Test: Ist mein Android-Gerät noch sicher? | Günnis Seniorentreff 50+