Kommentar zur Sicherheit von Android 4.3

Warum stellt Google die Patches für WebView ein?

| Autor / Redakteur: Tod Beardsley* / Stephan Augsten

Patches selbst entwickeln?

In diesem Zusammenhang ist es wichtig, darauf hinzuweisen, dass Android ein Open-Source-Betriebssystem ist. Gerätehersteller, Serviceprovider, Einzelhändler und sogar enthusiastische Anwender haben daher durchaus die Möglichkeit, eigene Patches zu schmieden. Das scheint heute teilweise auch schon so gehandhabt zu werden. Ein Sicherheitsproblem bei Version 4.3 kann beispielsweise nur Geräte von Kyocera, aber nicht von Samsung betreffen, selbst wenn beide das „gleiche“ Betriebssystem aufweisen.

Dies ist zwar generell eines der Kernversprechen von Open-Source-Software und insbesondere von Android, es lässt sich jedoch nicht feststellen, wie häufig dieses Patching tatsächlich erfolgt und wie effektiv die nicht von Google stammenden Patches bei Schwachstellen „alter“ Geräte in Zukunft sein werden.

Von Google bereitgestellte Android-Updates müssen bereits heute schon von Geräteherstellern und Netzbetreibern zuerst genehmigt werden. Ich kann mir nicht vorstellen, dass sich dieser Prozess verbessert, wenn sich Google selbst aus dem Patching-Geschäft verabschiedet hat. Denn es ist wenig wahrscheinlich, dass AT&T oder Motorola einen Patch übernehmen, der von irgendeinem Typen im Internet stammt.

Keine Patches = kein Eingeständnis

Erschwerend kommt hinzu, dass Google grundsätzlich keine Android-Schwachstellen veröffentlicht oder öffentlich kommentiert, selbst wenn diese im Rahmen angemessener Offenlegungsverfahren gemeldet wurden. Stattdessen sind Android-Entwickler und -Nutzer darauf angewiesen, dass Dritte etwaige Sicherheitslücken und ihre Auswirkungen erklären und in Open-Source-Repositories möglicherweise ein Patch veröffentlicht wird.

Google hat zum Beispiel unlängst CVE-2014-8609, eine Schwachstelle auf SYSTEM-Ebene, die das Offenlegen von Informationen ermöglichte, lediglich durch eine Patch-Commit-Meldung im Lollipop-Quellcode-Repository öffentlich anerkannt. Da Google jetzt beschlossen hat, keine Patches für „alte“ Android-WebView-Versionen mehr bereitzustellen, wird es Sicherheitsrisiken bei Geräten mit Betriebssystem-Versionen vor KitKat vermutlich überhaupt nicht mehr öffentlich eingestehen.

Google sollte Entscheidung nochmals überdenken

Die technischen Teams von Google gehören in vielerlei Hinsicht zu den besten, die es gibt, unter anderem was die Android-Entwicklung anbetrifft. Es ist daher äußerst besorgniserregend, dass sie sich in diesem Bereich nicht mehr um die Sicherheit kümmern werden. Als Softwareentwickler weiß ich aber natürlich auch, dass die Unterstützung alter Versionen meiner Software viel Aufwand verursacht.

Ich kann Googles Entscheidung, für Legacy-Software nicht mehr die Verantwortung zu übernehmen, durchaus nachempfinden. Allerdings vertraut auch nicht eine Milliarde Menschen ihre persönlichen Daten einer alten Version meiner Software an. In Anbetracht dessen hoffe ich, dass Google seine Entscheidung nochmals überdenkt, sobald die nächste die Datensicherheit gefährdende Schwachstelle bekannt wird.

* Tod Beardsley arbeitet als Sicherheitsforscher und Penetration Tester bei Rapid7.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43160476 / Mobile Security)