Suchen

Kommentar zur Sicherheit von Android 4.3

Warum stellt Google die Patches für WebView ein?

Seite: 3/4

Firma zum Thema

Wirtschaftlichkeit von Upgrades

Ich gehe davon aus, dass zudem die Anwender, die zurzeit Sicherheitslücken auf Geräten vor KitKat und ohne Chromium-WebView ausgesetzt sind, genau diejenigen sind, die höchstwahrscheinlich nicht in der Lage sind, „auf die neueste Android-Version zu aktualisieren“, um Security Patches zu erhalten.

Das neueste Google Nexus wird für ungefähr 660 US-Dollar verkauft, während bei der Suche nach „Android Smartphone“ auf Amazon an erster Stelle ein Gerät für unter 70 US-Dollar angezeigt wird. Das ist ein nahezu zehnfacher Preisunterschied, der auf zwei völlig unterschiedliche Anwendergruppen hinweist. Auf der einen Seite gibt es Nutzer, die gern bereit sind, mehrere hundert Dollar für ein Smartphone auf den Tisch zu legen, während andere nicht viel mehr als 100 US-Dollar ausgeben wollen oder können.

Beides zusammen – die Zweidrittelmehrheit der Anwender mit jetzt nicht mehr unterstützten Geräten und die Tatsache, dass diesen Anwendern ein Aufrüsten, d. h. ein Geräteneukauf, in der Praxis nicht möglich ist – bedeutet, dass jede neue Anfälligkeit, die im „veralteten“ Android entdeckt wird, auf dem Massenmarkt für lange Zeit ein Einfallstor für Exploits bieten wird.

Massenmarkt-Exploits im Vormarsch

Das sind natürlich gute Nachrichten für Penetrationstester. Der Zugriff auf Unternehmensdaten wird auf Android-Smartphones in vielen Fällen kinderleicht sein, und ich rechne damit, dass Penetrationstests zunehmend diese Geräte ins Visier nehmen werden. Es sind leider auch gute Nachrichten für Kriminelle, aus dem einfachen Grund, dass echte Betrüger sowieso vor nichts haltmachen.

Open-Source-Sicherheitsforscher veröffentlichen routinemäßig Schwachstellendetails und funktionierende Exploits. Dahinter steht die Hoffnung, dass diese Art von öffentlicher Diskussion und Enthüllung sowohl Anbieter als auch Nutzer auf die von Kriminellen genutzten Praktiken aufmerksam macht.

Durch das Publizieren dieser Sicherheitslücken sind es Anwender mittlerweile gewohnt, dass Hersteller sich der Sache annehmen und hinreichende Schutzmaßnahmen implementieren. Wenn der ursprüngliche Anbieter jedoch nicht bereit ist, Sicherheitslücken zu stopfen, selbst wenn diese offengelegt wurden, bleiben reguläre Nutzer leider permanent gefährdet.

(ID:43160476)