Google stellt Support für ältere Android-Komponente ein

Google unterstützt offenbar nicht mehr die älteren Versionen der Android-Komponente WebView. Von der Umstellung sind Tod Beardsley, Sicherheitsforscher bei Rapid7, zufolge alle Nutzer von Android 4.3 Jelly Bean und früher betroffen. Diese machen noch über 60 Prozent der Mobilgeräte mit Googles Betriebssystem aus. Damit erhielten über 930 Millionen Anwender keine Sicherheitsupdates mehr von Google, schreibt Beardsley in einem Blog.

Die Komponente WebView übernimmt die Darstellung von Web-Inhalten unter Android. Die Basis bildet die Rendering-Engine WebKit und kommt im namenlosen Android-Browser zum Einsatz. Aber auch alle anderen Apps, die über keine eigenen Browsertechnik verfügen, nutzen sie. Google hat in Android 4.4 WebView durch Chromium ersetzt. Die entsprechende Variante basiert auf Chrome 30 inklusive der Rendering-Engine Blink und der JavaScript-Engine V8.

“Wenn die betroffene Version von WebView älter als 4.4 ist, entwickeln wir generell selber keine Patches”, zitiert Beardsley aus der Antwort eines Google-Mitarbeiters zu einer kürzlich neu eingereichten Schwachstelle in WebView mit. Der Konzern prüfe gerne Patches, die von der Community entwickelt oder in das Android Open Source Project integriert wurden. Allerdings könne der Konzern Gerätehersteller nur über die Lücken und die Verfügbarkeit eines Fixes informieren.

Nach Aussagen von Google liege es allein in der Verantwortung der Gerätehersteller, ob ein solcher Patch auch verteilt wird oder nicht. Ein Grund dafür ist, dass der Konzern erst mit Android 5.0 Lollipop den Browser und damit auch WebView vom Betriebssystem getrennt hat. Somit sind Updates über den Google Play Store möglich.

Letzte Lücke im Oktober 2013 geschlossen

“Im vergangenen Jahr haben der unabhängige Forscher Rafay Baloch und Joe Vennix von Rapid7 fast routinemäßig Android-WebView-Exploits herausgebracht”, so Beardsley weiter. Für Android 4.3 und früher umfasst das von Rapid7 bereitgestellte Toolkit Metasploit elf Exploits. Im Oktober 2013 habe Google mit dem letzten offiziellen Jelly-Bean-Update die letzte WebView-Lücke behoben, einen Cross-Site-Scripting-Bug.

Das Support-Ende gilt Google zufolge nur für WebView und nicht generell für ältere Android-Versionen. Komponenten wie beispielsweise die Multi-Media-Player sollen weiterhin Updates erhalten.

“Am sichersten ist die neueste Android-Version”

Die Entscheidung hat Google gegenüber Rapid7 damit begründet, dass es keine neuen Geräte mit dem namenlosen Android-Browser mehr zertifiziert. Zudem sei “der beste Weg, sicherzustellen, dass Android-Geräte sicher sind, sie auf die neueste Android-Version zu aktualisieren”.

Das dürfte einem Geräteneukauf entsprechen, da die meisten Hersteller Softwareupdates auf Android 5.0 nur für die neuesten Modelle planen. Vermutlich geht es Google aber auch darum, nicht zwei unterschiedliche Rendering-Engines zu pflegen, da WebView in Android 4.3 und früher auf WebKit basiert – im Gegensatz zu WebView in Android 4.4 und neuer, das Googles WebKit-Fork Blink nutzt.

Beardsley weist zudem darauf hin, dass Google für den Support oder Lebenszyklus von Android keinerlei Richtlinien veröffentlicht habe. “Google könnte morgen entscheiden, den Support für KitKat einzustellen, was allerdings Selbstmord wäre. Allerdings würde ich auch davon ausgehen, dass die Einstellung des Supports für 60 Prozent der Nutzerbasis einem Selbstmord gleichkommt, aber genau das haben wir hier”, ergänzte Beardsley.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de