Geschätzte 930 Millionen Android-Mobilgeräte sind für Cyber-Angriffe verwundbar.

Forscher haben neue Sicherheitslücken in Googles WebView entdeckt. Kurz darauf veröffentlichte das Unternehmen die Entscheidung, dass Google keine Verbesserungen an der Software unternehmen wird. Dies gilt für WebView in Android vor KitKat 4.4. 60 Prozent der Android-Nutzer (ca. 930 Millionen Nutzer) nutzen Android 4.3 und älter.

WebView ist eine Komponente von Android. Entwickler nutzen es, um Webinhalte in ihren Apps darzustellen. Außerdem war es die Basis des Browsers in allen Versionen bis Android 4.3.

Obwohl die Entscheidung von Google nahezu eine Milliarde Nutzer betrifft und diese gefährden kann, hat das Unternehmen die Gründe nicht weiter erklärt. Auch Hinweise, wie man sich gegen mögliche Übergriffe schützen kann, wurden nicht gegeben.

Adrian Ludwig, leitender Ingenieur für Android-Sicherheit bei Google, erklärte, dass die Entscheidung wegen der Komplexität der Verbesserung von älteren Versionen von WebKit fiel. WebKit ist die Browser-Engine, auf der WebView und Chrome basierten, bis Google WebKit in Blink für Chrome abzweigte. Ludwig erklärt, dass die Arbeit an einem Update für Android 4.3 und älter zu aufwändig und inpraktikabel wäre.

Außerdem, so Ludwig, steigen täglich viele auf neue Geräte um oder aktualisieren die Software. Dadurch sinkt die Zahl der Betroffenen ständig. Ludwig rät, Browser zu verwenden, die über Google Play aktualisiert sind, oder solche, die ihre eigenen Content Renderer nutzen. Er verweist auf Chrome, unterstützt ab Android 4.0, und Firefox, unterstützt ab Android 2.3.

IT-Sicherheitsexperte von SANS, John Pescatore, kommentiert, dass Google hier Farbe bekennt. Android 4.3 wurde Mitte 2013 geliefert, das sind etwa zehn Jahre in Konsumenten/Internet-Jahren. In Unternehmensjahren sind es nur 1,5 Jahre. Wenn Unternehmen von konsumorientierter IT profitieren wollen, müssen sie in Schadensminderung investieren.

SANS IT-Sicherheitsexperte James Murray empfiehlt Unternehmen, sich eine Strategie für solche Fälle von der Nutzung von Consumer-Geräten zurecht zulegen. Diese sollte auf sicherem Quellcode beruhen, möglichst unabhängig von Software-Versionsständen sein, aktuell gehalten werden und Sicherheits-Updates sollten ebenso eingepflegt werden.

Android ist hier ein ganz spezieller Fall: Zu viel unterschiedlicher Quellcode, zu viele Versionen, Nutzungen und Kopien. Es ist eigentlich kein einzelnes Produkt, sondern vielmehr eine Sammlung von verwandten Produkten.

Artikel von zdnet.com, 26.01.2015: Google: Why we won’t patch pre-KitKat Android WebView
Artikel von cnet.com, 24.01.2015: Google leaves most Android users exposed to hackers