Sicherheitslücken auf älteren Android-Geräten werden offen bleiben

Laut einer Meldung von Rapid7 wird Google in Zukunft die Patches für die Android-Komponente WebView einstellen. Nach aktuellen Schätzungen würden somit ca. 60% aller Androids mit potentiellen Gefahren ausgesetzt sein.

WebView ist eine Komponente, die bis einschließlich Android 4.3 (Jelly Bean) auf allen Androidgeräten läuft und für die Darstellung von Webinhalten im Browser wichtig ist, aber auch von anderen Apps mitgenutzt wird. WebView wird seit Android 4.4 (KitKat) von Chromium ersetzt, welches erhebnlich bessere Leistungsmerkmale als sein Vorgänger aufweist.

Herkunft der Meldung

Google hat selbst, ohne große Bekanntmachung, ausgesagt, dass sie WebView nicht weiter unterstützen. Auf eine Supportanfrage des Sicherheitsforschers Tod Beardsley an Google antworteten diese:

If the affected version [of WebView] is before 4.4, we generally do not develop the patches ourselves,

(Wenn die betroffene Version [von WebView] älter als 4.4 ist, entwickeln wir grundsätzlich selber keine Patches

Damit würde Google es tatsächlich in Kauf nehmen, 60% aller Androidgeräter mit einer Sicherheitslücke allein lassen. Das wurde in etwa 930 Millionen Geräten entsprechen.

Sicherheitsproblem WebView

In der Vergangenheit ist WebView immer wieder anfällig für Exploits gewesen. Zur Erklärung: ein Exploit nutzt Schwachstellen und Sicherheitslücken in einer Software aus, um sich Zugang zu Ressourcen oder Computern zu verschaffen. Diese Schwachstellen wurden unbeabsichtigt bei der Programmierung hinterlassen. Im Regelfall werden diese Schwachstellen mit Hilfe eines Patches behoben, sobald sie entdeckt werden. Wenn jedoch keine Patche mehr bereitgestellt werden, bleiben entdeckte Sicherheitslücken offen und können problemlos ausgenutzt werden.

Dieser Gefahr könnten nun die Mengen an betroffenen Nutzern ausgesetzt sein.

Welche Version habe ich?

In den Einstellungen kann man nun nachschauen, welche Version das eigene Androidsystem hat. Betroffen von zukünftig ausbleibenden Patch werden nun alle 4.3 und abwärts haben.

Problem für Betroffene

Zunächst sollte man prüfen, ob ein Update des Systems auf 4.4 möglich ist. Leider geht das bei vielen Geräten jedoch nicht. Dabei ist dann auch eine Teilschuld des Dilemmas bei den Herstellern zu sehen. Bei günstigen Anbietern wird oftmals eine alte Version genutzt und auch gehofft, das die Nutzer sich direkt ein neues Gerät kaufen.

Bei anderen Geräten ist andererseits die verbaute Hardware schuld, bzw. die vom Hersteller hinzugefügte Software, so dass ein Update nicht möglich ist.
Um es deutlich auszudrücken: bei Android kann man nicht “mal eben” auf eine höhere Version updaten!

Um aufkommende Fragen zu beantworten:
Wenn die Angaben von Rapid7 so gültig sind, werden tatsächlich alle Geräte, die sich nicht updaten lassen, von der Sicherheitslücke betroffen sein. Vielleicht werden unabhängige Entwickler einen Sicherheitspatch herausbringen.
Was auch, jedoch nur in Ansätzen, hilft: einen anderen Browser installieren und nicht mehr den Standardbrowser zum Surfen verwenden. Man kann hier zum Beispiel auf die Versionen von Firefox, Opera oder Chrome für Android umsteigen.

Gleichzeitig einfach den Standardbrowser in den App-Einstellungen deaktivieren und, falls vorhanden, das Symbol von der Oberfläche entfernen.

Das Problem bei dieser Umstellung:

Alle Apps, die die Standard Webenginge benutzen, sind dadurch „betroffen“. Und die Sicherheitslücke ist dann nicht in der App – sonst könnte Google es ja blocken – sondern wenn die App Daten aus dem Netz lädt, was Werbung oder Webseiten oder alles andere sein kann. Dazu muss dann auch nichts dargestellt werden, im Zweifelsfall reicht es aus im Hintergrund den Schadcode zu laden. Ich meine mich zu erinnern, dass Google sogar grundsätzlich dagegen ist, dass die Entwickler eigene Webengines in den Apps benutzen.

Praktisch und laienhaft ausgedrückt: Eine Wetterapp holt sich die Daten von einer Website und stellt sie auch so dar. Verändert man den Code auf der Website – die der Entwickler der App auch entwickelt hat – so kann auf dem Android Gerät die Sicherheitslücke ausgenutzt werden. Oder aber die Wetterapp ist „sauber“, blendet aber irgendwo Werbung ein. Je nachdem woher die Werbung kommt kann diese mit Schadcode behaftet sein (Cross-Site-Scripting)

Dann wird es schwierig sein, dass irgendjemand da mal so schnell einen Patch bereitstellt. Zwar lassen sich viele Android Geräte relativ einfach verändern wenn man weiß was man machen muss, allerdings geht das nicht bei allen. Viele Geräte unterbinden das auch ganz, dass man da auf Systemebene was verändern kann.
(Vielen Dank an Thomas Schulz für die Ausführliche Erklärung)

Autor: Andre, mimikama.org