Kommentar zur Sicherheit von Android 4.3

Warum stellt Google die Patches für WebView ein?

| Autor / Redakteur: Tod Beardsley* / Stephan Augsten

Wirtschaftlichkeit von Upgrades

Ich gehe davon aus, dass zudem die Anwender, die zurzeit Sicherheitslücken auf Geräten vor KitKat und ohne Chromium-WebView ausgesetzt sind, genau diejenigen sind, die höchstwahrscheinlich nicht in der Lage sind, „auf die neueste Android-Version zu aktualisieren“, um Security Patches zu erhalten.

Das neueste Google Nexus wird für ungefähr 660 US-Dollar verkauft, während bei der Suche nach „Android Smartphone“ auf Amazon an erster Stelle ein Gerät für unter 70 US-Dollar angezeigt wird. Das ist ein nahezu zehnfacher Preisunterschied, der auf zwei völlig unterschiedliche Anwendergruppen hinweist. Auf der einen Seite gibt es Nutzer, die gern bereit sind, mehrere hundert Dollar für ein Smartphone auf den Tisch zu legen, während andere nicht viel mehr als 100 US-Dollar ausgeben wollen oder können.

Beides zusammen – die Zweidrittelmehrheit der Anwender mit jetzt nicht mehr unterstützten Geräten und die Tatsache, dass diesen Anwendern ein Aufrüsten, d. h. ein Geräteneukauf, in der Praxis nicht möglich ist – bedeutet, dass jede neue Anfälligkeit, die im „veralteten“ Android entdeckt wird, auf dem Massenmarkt für lange Zeit ein Einfallstor für Exploits bieten wird.

Massenmarkt-Exploits im Vormarsch

Das sind natürlich gute Nachrichten für Penetrationstester. Der Zugriff auf Unternehmensdaten wird auf Android-Smartphones in vielen Fällen kinderleicht sein, und ich rechne damit, dass Penetrationstests zunehmend diese Geräte ins Visier nehmen werden. Es sind leider auch gute Nachrichten für Kriminelle, aus dem einfachen Grund, dass echte Betrüger sowieso vor nichts haltmachen.

Open-Source-Sicherheitsforscher veröffentlichen routinemäßig Schwachstellendetails und funktionierende Exploits. Dahinter steht die Hoffnung, dass diese Art von öffentlicher Diskussion und Enthüllung sowohl Anbieter als auch Nutzer auf die von Kriminellen genutzten Praktiken aufmerksam macht.

Durch das Publizieren dieser Sicherheitslücken sind es Anwender mittlerweile gewohnt, dass Hersteller sich der Sache annehmen und hinreichende Schutzmaßnahmen implementieren. Wenn der ursprüngliche Anbieter jedoch nicht bereit ist, Sicherheitslücken zu stopfen, selbst wenn diese offengelegt wurden, bleiben reguläre Nutzer leider permanent gefährdet.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43160476 / Mobile Security)