Kommentar zur Sicherheit von Android 4.3

Warum stellt Google die Patches für WebView ein?

| Autor / Redakteur: Tod Beardsley* / Stephan Augsten

Um die Sicherheit von Android 4.3 alias Jelly Bean und frühere Versionen ist es künftig nicht gut bestellt.
Um die Sicherheit von Android 4.3 alias Jelly Bean und frühere Versionen ist es künftig nicht gut bestellt. (Bild: Google / Archiv)

Für die Ankündigung, die WebView-Komponente in älteren Android-Versionen nicht mehr mit Updates zu versorgen, hat Google vergangene Woche für Aufsehen gesorgt. Immerhin ist die am weitesten verbreitete Version 4.3, Codename Jelly Bean, davon betroffen. Als Penetrationstester kennt Rapid7 die Auswirkungen im Detail.

Im vergangenen Jahr haben der unabhängige Sicherheitsforscher Rafay Baloch (von „Rafay's Hacking Articles“) und Joe Vennix von Rapid7 fast routinemäßig Android-WebView-Exploits herausgebracht, die sowohl auf veröffentlichten als auch eigenen Erkenntnissen basierten.

Mittlerweile enthält Metasploit dank Rafay, Joe und anderen Mitgliedern der Open-Source-Sicherheitscommunity elf solcher Exploits. Diese Exploits betreffen im Allgemeinen „nur“ Android 4.3 und frühere Versionen – entweder das native Android 4.3 oder mit 4.3-WebView-Kompatibilität erstellte Apps.

WebView ist die Kernkomponente, die zur Darstellung von Webseiten auf Android-Geräten verwendet wird. Es wurde in Android KitKat (4.4) durch eine aktuellere WebView-Version auf Chromium-Basis ersetzt, die auch der beliebte Chrome-Browser nutzt.

Trotz dieser Änderung werden Android-Sicherheitslücken sicherlich weiterhin auftreten und wohl nicht so schnell geschlossen werden. Dies liegt an der neuen Vorgehensweise des Android-Sicherheitsteams von Google, über die bisher nur wenig berichtet wurde: Google stellt keine Sicherheitspatches für Schwachstellen mehr bereit, die nur Versionen von Androids nativem WebView vor 4.4 betreffen.

Das heißt, Google unterstützt jetzt nur die aktuelle Android-Version (Lollipop oder 5.0) und die vorhergehende Version (KitKat oder 4.4). Für Jelly Bean (4.0 bis 4.3) und frühere Versionen wird Google der Sicherheitsabteilung (security@android.com) zufolge keine WebView-Sicherheitsaktualisierungen mehr liefern.

Wenn bei Android 4.3 neue Schwachstellen erkannt wurden, wurden diese von Google bis vor kurzem noch ziemlich schnell beseitigt. Schließlich nutzten die meisten Anwender bis Dezember 2013 noch die Android-Version „Jelly Bean“. Das letzte Jelly-Bean-Release wurde vor knapp über einem Jahr im Oktober 2013 herausgebracht. Deshalb wurde auch der universelle Cross-Site-Scripting-Bug behoben, wie aus dem Android-Änderungsprotokoll hervorgeht und auf Rafays Blog berichtet wurde.

Google über die Bereitstellung von Patches für Versionen vor KitKat

Auf die Meldung einer neuen Schwachstelle in WebView-Versionen vor 4.4 reagierten die Sicherheitsexperten von Google dann mit dieser Mitteilung:

„Wenn die betroffene Version [von WebView] älter als 4.4 ist, entwickeln wir die Patches generell nicht selbst, aber wir prüfen gerne Patches, die mit dem Fehlerbericht bei uns eingehen. Wir benachrichtigen zwar die OEMs, aber abgesehen davon sind wir nicht in der Lage, uns um Berichte zu kümmern, die Versionen vor 4.4 betreffen, sofern die Berichte nicht schon einen Patch enthalten.“

Google liefert also für 4.3 keine Patches mehr. Eine Nachricht, die Stirnrunzeln auslöst. Mir ist kein anderes Programm zur Reaktion auf Schwachstellen bekannt, bei dem derjenige, der den Fehler meldet, auch einen eigenen Patch liefern soll. Genau dies scheint jedoch Googles Position zu sein.

Diese Änderung der Sicherheitsrichtlinien mutet so bizarr an, dass ich zuerst nicht glauben konnte, dass es wirklich die offizielle Vorgehensweise von Google ist. Deshalb bin ich der Sache nachgegangen und habe um Bestätigung gebeten. Als Antwort erhielt ich eine nahezu identische Aussage von security@android.com:

„Wenn die betroffene Version [von WebView] älter als 4.4 ist, entwickeln wir die Patches generell nicht selbst, informieren Partner jedoch über das Problem [...] Wenn Patches mit dem Bericht eingereicht oder im AOSP veröffentlicht werden, stellen wir sie Partnern auch gern zur Verfügung.“

In einer Klarstellung bestätigte das Android-Sicherheitsteam zumindest, dass andere Komponenten vor KitKat, wie z. B. die Multi-Media-Player, weiterhin mit rückportierten Patches rechnen können.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43160476 / Mobile Security)