Sicherheitslücke – Darum lässt Google das Android-Leck offen

Eine Mitte Januar bekannt gewordene Sicherheitslücke, von der Smartphones und Tablets mit der Android-Version 4.3 (Jelly Bean) oder älter betroffen sind, wird nicht mehr repariert. Dies meldet Google, nachdem einige Zeit lang Unklarheit herrschte, ob der Bug repariert wird.

Immerhin sind etwa 60 Prozent aller Android-Geräte von dem Leck betroffen. Weltweit sind das rund 930 Millionen Tablets oder Smartphones. Doch die Zahl der Betroffenen sinke «jeden Tag, je mehr Leute ein Upgrade vornehmen oder ein neues Gerät erhalten», schreibt Google-Entwickler Adrian Ludwig in seinem Blog-Eintrag. Dabei handelt es sich nicht etwa um die ausgefallene Meinung eines Angestellten, sondern um die offizielle Haltung des Konzerns, wie Google mittlerweile bestätigt hat.

Das Problem betrifft vor allem den Standard-Browser von Android und die darin verwendete Webview-Technologie. Angreifer könnten dadurch an Daten herankommen, die Android-Nutzer auf Websites gespeichert haben.

Der Google-Mitarbeiter Ludwig rät deshalb dazu, nicht den Standard-Browser zu verwenden, sondern auf einen sicheren mobilen Browser (Firefox oder Chrome) umzusteigen. Zudem würde das Durchkämmen der rund fünf Millionen Zeilen Code des Webview-Kits zu viel Aufwand bedeuten für ein über zwei Jahre altes System. Allerdings hilft das Ausweichen auf einen anderen Browser nur begrenzt: Damit ist zwar gegen die Fehler im Android-Browser geholfen, nicht aber gegen die Lücken in anderen Apps, bei denen dasselbe Problem ebenfalls vorkommt.

Beim neueren Android 4.4 (Kitkat) wurde Webview ersetzt, so dass das Problem bei dieser Version wie auch bei Android 5 (Lollipop) nicht mehr vorkommt. Geräte mit Android 4.3 oder älter, für die vom Hersteller kein Upgrade auf 4.4 zur Verfügung steht, müssen mit der Sicherheitslücke betrieben werden. Dabei ist diese Version noch nicht wirklich alt: Geräte mit Android 4.3 werden noch immer verkauft.

(L'essentiel/ray)