Browserlücke in Android 4.3 bleibt ungepatcht

Andre Borbe,
Android Logo (Bild: Google)

Kein Sicherheitsupdate in Planung: Der Support für die über zwei Jahre alte WebKit-Version kann Google zufolge nicht mehr gewährleistet werden. Nutzer sollten auf Chrome oder Firefox umsteigen.

Die Komponente WebView in Android 4.3 Jelly Bean und früher erhält keine Sicherheitsupdates mehr. Darauf hat Google nochmals hingewiesen. Der Konzern bestätigte CNET Aussagen von Adrian Ludwig, der bei Google für die Sicherheit von Android zuständig ist. Er hatte auf Google+ angekündigt, dass die bekannte Lücke ungepatcht bleibt.

WebView übernimmt unter Android die Darstellung von Web-Inhalten. Die Grundlage für die Komponente bildet WebKit und kommt nicht nur im namenlosen Android-Browser zum Einsatz, sondern auch in Apps, die über keine eigene Browsertechnik verfügen. Goolge hat in Android 4.4 KitKat von WebView auf Chromium gewechselt. Die entsprechende Variante basiert auf Chrome 30 inklusive der Rendering-Engine Blink und der JavaScript-Engine V8.

Android Security (Bild: ZDNet.com)“Software aktuell zu halten, ist eine der größten Herausforderungen im Bereich Sicherheit”, schreibt Ludwig. Die Browser-App basiere auf einer Version der Browser-Engine WebKit, die über zwei Jahre alt sei. Daher sei die Beseitigung einer Lücke in Android 4.3 Jelly Bean und früher nicht mehr “mit Sicherheit möglich”.

Android 4.4 KitKat habe die Sicherheit von WebView und des Browsers deutlich verbessert, ergänzte Ludwig. Google könne zudem seit Android 5.0 Lollipop WebView direkt über Google Play aktualisieren. Zuvor verteilten die Gerätehersteller die Updates. Darüber hinaus sinke die Zahl der Nutzer die noch Android 4.3 und früher verwendeten.

Nutzer sollen andere Browser einsetzen

Ludwig empfiehlt Anwendern einen Browser wie Chrome oder Firefox zu installieren, um im Internet zu surfen. Chrome benötigt mindestens Android 4.0. Firefox bietet Unterstützung sogar ab Android 2.3.

Darüber hinaus sollten Entwickler sicherstellen, dass ihre auf WebView basierenden Anwendungen nur Inhalte aus vertrauenswürdigen Quellen laden. Das bedeutet nur lokal gespeicherte Inhalte oder über eine sichere HTTP-Verbindung (HTTPS). Entwickler können als Alternative auch einen eigenen Renderer einsetzen. Für diesen müssen sie aber selber Sicherheitsupdates bereitstellen. Allerdings weist Ludwig auch darauf hin, dass Google nach der Umstellung von Chrome auf Blink selbst mit hundert Entwicklern den Support für WebKit nicht mehr garantieren konnte und deswegen eingestellt habe.

Laut Googles eigener Statistik läuft nur auf 39,1 Prozent aller Android-Geräte, die auf den Play Store zugreifen, Android 4.4 KitKat und damit eine gepatchte WebView-Version. Android 4.3, 4.2.x und 4.1.x JellyBean kam Anfang Januar noch auf einen Anteil von 46 Prozent, Android 4.0 Ice Cream Sandwich auf 6,7 Prozent und Android 2.3.x Gingerbread auf 7,8 Prozent. Für Android 2.2 Froyo, das noch auf 0,4 Prozent aller Geräte zum Einsatz kommt, empfiehlt sich indes Opera Mini als Alternative zum namenlosen Android-Browser.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de