Sicherheitslücke in Millionen Android-Geräten: Google empfiehlt Chrome oder Firefox als Abhilfe
Scharfe Kritik gibt es seit bekannt wurde, dass Google Sicherheitslücken im alten Standard-Browser von Android nicht mehr schließen will. Die Abhilfe, die Google nun empfiehlt, ist nicht so recht befriedigend.
- Jürgen Kuri
Seit Mitte Januar bereits ist bekannt, dass Google Sicherheitslücken im bis Android 4.3 genutzten Standard-Browser von Android – genauer gesagt in dessen WebView-Komponente – nicht mehr stopfen will. Nun empfiehlt Adrian Ludwig von Google als Ersatz für den alten Standard-Browser in Android Chrome oder Firefox: Chrome könne ab Android 4.0, Firefox ab Android 2.3 eingesetzt werden. Seit 2012 sei Chrome sowieso der Standard-Browser auf Nexus-Geräten und Google-Play-Editionen von Smartphones und Tablets anderer Hersteller.
Die Entscheidung, den alten Browser nicht mehr mit Sicherheitsupdates zu versorgen, hatte aber bereits Mitte Januar für heftige Kritik gesorgt – dem dürfte durch die neue Stellungnahme kaum abhelfen. Denn das Webview-Modul ist die Kernkomponente des alten Browsers mit dem blauen Weltkugel-Icon. Doch auch andere Apps setzen die Komponente ein und vergrößern so das Risiko eines Angriffs. Auf alle WebView-basierten Apps zu verzichten ist praktisch unmöglich, denn die Komponente wird in der Regel beispielsweise auch für Werbeeinblendungen in Apps genutzt; derartig finanzierte Anwendungen wären dann nicht nutzbar.
Mit Android 4.4 wurde das Webkit-Modul zwar gegen eine auf Chromium aufbauende, überarbeitete Variante ausgetauscht und Chrome als Standard-Browser eingestellt. Google zufolge sind aber noch fast 61 Prozent der sich im Umlauf befindlichen Android-Geräte von den Sicherheitslücken betroffen, denn erst 39 Prozent haben Android 4.4 oder höher installiert.
Adrian Ludwig von Google meint aber in seiner Stellungnahme, dass mit den Fortschritten in Android 4.4 immer weniger User von Sicherheitslücken in der alten WebView-Komponente, die einen eigenen Entwicklungszweig von WebKit darstellt, betroffen sein würden. Außerdem habe Webkit über 5 Millionen Codezeilen und Hunderte Entwickler tragen Tausende Commits jeden Monat bei. Um nun Sicherheitsupdate für einen mehr als zwei Jahre alten Entwicklungszweig von Webkit bereitzustellen, hätte Google große Änderungen am Code vornehmen müssen; dies sei nicht mehr auf sichere Art und Weise möglich gewesen. (jk)
