Android 4.3 und älter - 1 Milliarde Geräte ohne Sicherheitsupdates von Google (Update)

Im mobilen Betriebssystem Android von Google wurde eine Sicherheitslücke gefunden, die das Unternehmen selbst nicht mehr schließen will.

von Georg Wieselsberger,
26.01.2015 10:43 Uhr

Android 4.x Jelly Bean ist Google anscheinend schon zu alt für Support.Android 4.x Jelly Bean ist Google anscheinend schon zu alt für Support.

Update: Adrian Ludwig ist der Lead Engineer im Bereich Sicherheit für das mobile Betriebssystem Android und hat bei Google+ Stellung zu der nach wie vor anhaltenden Diskussion um Updates für Android 4.3 oder älter bezogen. Laut seiner Aussage sei es einfach nicht mehr praktikabel, eine zwei Jahre alte Version von Webkit umfassend zu ändern. Seit Android 4.4 sinke die Anzahl der Nutzer, die von Fehlern in Webkit betroffen seien ständig, da immer mehr Nutzer Upgrades erhalten oder neue Geräte kaufen.

Außerdem, so Ludwig, könnten Nutzer und Entwickler durch die Verwendung eines sicheren Browsers wie Chrome oder Firefox das Risiko solcher Sicherheitslücken schließen, ohne das neueste Android nutzen zu müssen. Diese Browser würden über Google Play ständig aktualisiert und würden so auch Patches für neu gefundene Sicherheitslücken erhalten. Chrome setze nur Android 4.0 voraus und sei auf vielen Geräten vorinstalliert. Die Reaktionen auf diesen Beitrag sind allerdings weiterhin sehr kritisch. Ob etwas schwer oder teuer sei, dürfte keine Rolle spielen, wenn Google für Sicherheitslücken in gerade einmal zwei Jahre alter Software verantwortlich sei.

Originalmeldung: Google steht aktuell schon aufgrund der Veröffentlichung von Sicherheitslücken in Windows in der Kritik, doch nun kommt noch Kritik am eigenen Verhalten gegenüber Android-Nutzern hinzu. Das Sicherheitsunternehmen Rapid 7 hatte in Android 4.3 und älteren Versionen eine Sicherheitslücke entdeckt, die möglicherweise für Angriffe ausgenutzt werden könnte. Die neueren Versionen ab Android 4.4 sind nicht mehr betroffen, doch noch immer nutzen fast eine Milliarde Geräte die nicht mehr aktuellen Fassungen des Betriebssystems. Für viele davon gibt es auch kein Update auf Android 4.4.

Nachdem Tod Beardsley von Rapid 7 Google über diese Sicherheitslücke in der Komponente WebView informiert hatte, erhielt er von dort die Antwort, dass man für Android vor Version 4.4 keine eigenen Patches mehr entwickelt. Google selbst werde nicht mehr unternehmen, als die Gerätehersteller zu informieren. Sollte allerdings eine solche Fehlermeldung gleich mit einem passenden Patch an Google geschickt werden, dann werde man sich diesen ansehen.

Zunächst konnte er die Antwort gar nicht glauben und wendete sich ein zweites Mal an Google - nur um eine fast identische Aussage zu erhalten. Da Android Open-Source ist, könnten nun natürlich andere Entwickler in die Bresche springen, doch da Google selbst keine Patches mehr entwickelt, gibt das Unternehmen auch neu gefundene Probleme in den älteren Versionen nicht mehr bekannt. Drittentwickler wissen daher nichts von neuen Sicherheitslücken, die an Google gemeldet wurden. Beardsley kritisiert Google in seinem Blogbeitrag für dieses Verhalten, denn immerhin wurde die letzte Version von Android 4.3 »Jelly Bean« erst im Oktober 2013 veröffentlicht.

Android 4.3 - Screenshots ansehen


Kommentare(77)

Nur angemeldete Benutzer können kommentieren und bewerten.