Kommentar zur Sicherheit von Android 4.3

Warum stellt Google die Patches für WebView ein?

Seite: 4/4

Patches selbst entwickeln?

In diesem Zusammenhang ist es wichtig, darauf hinzuweisen, dass Android ein Open-Source-Betriebssystem ist. Gerätehersteller, Serviceprovider, Einzelhändler und sogar enthusiastische Anwender haben daher durchaus die Möglichkeit, eigene Patches zu schmieden. Das scheint heute teilweise auch schon so gehandhabt zu werden. Ein Sicherheitsproblem bei Version 4.3 kann beispielsweise nur Geräte von Kyocera, aber nicht von Samsung betreffen, selbst wenn beide das „gleiche“ Betriebssystem aufweisen.

Dies ist zwar generell eines der Kernversprechen von Open-Source-Software und insbesondere von Android, es lässt sich jedoch nicht feststellen, wie häufig dieses Patching tatsächlich erfolgt und wie effektiv die nicht von Google stammenden Patches bei Schwachstellen „alter“ Geräte in Zukunft sein werden.

Von Google bereitgestellte Android-Updates müssen bereits heute schon von Geräteherstellern und Netzbetreibern zuerst genehmigt werden. Ich kann mir nicht vorstellen, dass sich dieser Prozess verbessert, wenn sich Google selbst aus dem Patching-Geschäft verabschiedet hat. Denn es ist wenig wahrscheinlich, dass AT&T oder Motorola einen Patch übernehmen, der von irgendeinem Typen im Internet stammt.

Keine Patches = kein Eingeständnis

Erschwerend kommt hinzu, dass Google grundsätzlich keine Android-Schwachstellen veröffentlicht oder öffentlich kommentiert, selbst wenn diese im Rahmen angemessener Offenlegungsverfahren gemeldet wurden. Stattdessen sind Android-Entwickler und -Nutzer darauf angewiesen, dass Dritte etwaige Sicherheitslücken und ihre Auswirkungen erklären und in Open-Source-Repositories möglicherweise ein Patch veröffentlicht wird.

Google hat zum Beispiel unlängst CVE-2014-8609, eine Schwachstelle auf SYSTEM-Ebene, die das Offenlegen von Informationen ermöglichte, lediglich durch eine Patch-Commit-Meldung im Lollipop-Quellcode-Repository öffentlich anerkannt. Da Google jetzt beschlossen hat, keine Patches für „alte“ Android-WebView-Versionen mehr bereitzustellen, wird es Sicherheitsrisiken bei Geräten mit Betriebssystem-Versionen vor KitKat vermutlich überhaupt nicht mehr öffentlich eingestehen.

Google sollte Entscheidung nochmals überdenken

Die technischen Teams von Google gehören in vielerlei Hinsicht zu den besten, die es gibt, unter anderem was die Android-Entwicklung anbetrifft. Es ist daher äußerst besorgniserregend, dass sie sich in diesem Bereich nicht mehr um die Sicherheit kümmern werden. Als Softwareentwickler weiß ich aber natürlich auch, dass die Unterstützung alter Versionen meiner Software viel Aufwand verursacht.

Ich kann Googles Entscheidung, für Legacy-Software nicht mehr die Verantwortung zu übernehmen, durchaus nachempfinden. Allerdings vertraut auch nicht eine Milliarde Menschen ihre persönlichen Daten einer alten Version meiner Software an. In Anbetracht dessen hoffe ich, dass Google seine Entscheidung nochmals überdenkt, sobald die nächste die Datensicherheit gefährdende Schwachstelle bekannt wird.

* Tod Beardsley arbeitet als Sicherheitsforscher und Penetration Tester bei Rapid7.

(ID:43160476)