© saicle/Shutterstock.com
PHP Magazin
Google lässt die Android-Security schleifen

Googles WebView

Mitte Januar sorgte eine Meldung aus dem Mobile-Web-Umfeld für Aufsehen: Google stellte ab Android 5.0 die bis dahin im System integrierte WebView auf Chromium um und entkoppelte sie vom eigentlichen Betriebssystem - Nutzer können seitdem ihre WebView über den Google Play Store updaten. Besitzer älterer Versionen schauen in die Röhre.

Tom Wießeckel


Mitte Januar gab es eine beunruhigende Nachricht für alle Android-Nutzer, die nicht auf eine der aktuellen Versionen des Betriebssystems setzen konnten: Sicherheitslücken in den WebViews vor Android KitKat wurden nicht mehr gefixt. Was auf den ersten Blick nicht unbedingt wie ein all zu großes Problem wirkte, entpuppte sich auf den zweiten Blick als durchaus düsterer Blick auf die Securitygegenwart des mobilen Betriebssystems.

WebView seit KitKat

Das letzte Jelly-Bean-Update (Android 4.3) wurde im Oktober 2013 veröffentlicht. Die Android-Version 4.4 brachte eine grundlegende Änderung mit sich: Die WebView basierte ab diesem Zeitpunkt auf Chromium [1].

Eine weitere Neuerung kam dann mit Android 5.0 Lollipop. Hierin basiert die WebView nicht nur auf Chromium 37, was sich in zahlreichen neuen Features und Performancesprüngen widerspiegelte [2], sondern war darüber hinaus noch vom Betriebssystem entkoppelt. Google überließ es ab diesem Zeitpunkt dem Nutzer, die WebView über den Play Store zu aktualisieren.

Das ermöglichte auf der einen Seite zwar eine schnellere Aktualisierung der WebView-Funktionalitäten, auf der anderen Seite jedoch ist man nun als Entwickler auf den Nutzer angewiesen.

Die WebView-Updatestrategie

Ab Lollipop ist das Update der WebView also kein Problem mehr; und zu einem großen Teil wurde diese Verantwortung dem Nutzer übertragen. Ein Update dient aber nicht nur dazu, neue Features oder Bugfixes nachzureichen – oft genug geht es auch darum, sicherheitsrelevante Schwachstellen zu fixen.

Genau hier wurde jedoch eine folgenschwere Entscheidung getroffen. Denn einem Blog-Post von Tod Beadsley folgend [3] entwickelt man bei Google nicht mehr aktiv an Patches für die WebView – während andere Komponenten wie beispielsweise der Media Player durchaus noch mit vom Android-Securityteam entwickelten, von neueren Versionen zurückportierten Patches rechnen könnten.

Android-Versionsverbreitung als Schwachstelle

Sieht man sich die aktuelle Verbreitung der einzelnen Versionen von Android genauer an, wird das ganze Ausmaß der beschriebenen Situation deutlich. Beinahe zwei Drittel aller Android-Devices sind potenziellen Gefährdungen ausgeliefert.

Dieser Schritt zwingt Nutzer geradezu, auf eine aktuelle Version des Google-Betriebssystems umzusteigen – sofern das mit dem Device überhaupt möglich ist. Gerade bei alten Geräten und Android-Versionen ist es üblich, dass die Updates vom Handyhersteller oder dem Carrier kommen; ein Patch muss also ohnehin viele Hürden nehmen.

...

PHP Magazin
Google lässt die Android-Security schleifen

Googles WebView

Mitte Januar sorgte eine Meldung aus dem Mobile-Web-Umfeld für Aufsehen: Google stellte ab Android 5.0 die bis dahin im System integrierte WebView auf Chromium um und entkoppelte sie vom eigentlichen Betriebssystem - Nutzer können seitdem ihre WebView über den Google Play Store updaten. Besitzer älterer Versionen schauen in die Röhre.

Tom Wießeckel


Mitte Januar gab es eine beunruhigende Nachricht für alle Android-Nutzer, die nicht auf eine der aktuellen Versionen des Betriebssystems setzen konnten: Sicherheitslücken in den WebViews vor Android KitKat wurden nicht mehr gefixt. Was auf den ersten Blick nicht unbedingt wie ein all zu großes Problem wirkte, entpuppte sich auf den zweiten Blick als durchaus düsterer Blick auf die Securitygegenwart des mobilen Betriebssystems.

WebView seit KitKat

Das letzte Jelly-Bean-Update (Android 4.3) wurde im Oktober 2013 veröffentlicht. Die Android-Version 4.4 brachte eine grundlegende Änderung mit sich: Die WebView basierte ab diesem Zeitpunkt auf Chromium [1].

Eine weitere Neuerung kam dann mit Android 5.0 Lollipop. Hierin basiert die WebView nicht nur auf Chromium 37, was sich in zahlreichen neuen Features und Performancesprüngen widerspiegelte [2], sondern war darüber hinaus noch vom Betriebssystem entkoppelt. Google überließ es ab diesem Zeitpunkt dem Nutzer, die WebView über den Play Store zu aktualisieren.

Das ermöglichte auf der einen Seite zwar eine schnellere Aktualisierung der WebView-Funktionalitäten, auf der anderen Seite jedoch ist man nun als Entwickler auf den Nutzer angewiesen.

Die WebView-Updatestrategie

Ab Lollipop ist das Update der WebView also kein Problem mehr; und zu einem großen Teil wurde diese Verantwortung dem Nutzer übertragen. Ein Update dient aber nicht nur dazu, neue Features oder Bugfixes nachzureichen – oft genug geht es auch darum, sicherheitsrelevante Schwachstellen zu fixen.

Genau hier wurde jedoch eine folgenschwere Entscheidung getroffen. Denn einem Blog-Post von Tod Beadsley folgend [3] entwickelt man bei Google nicht mehr aktiv an Patches für die WebView – während andere Komponenten wie beispielsweise der Media Player durchaus noch mit vom Android-Securityteam entwickelten, von neueren Versionen zurückportierten Patches rechnen könnten.

Android-Versionsverbreitung als Schwachstelle

Sieht man sich die aktuelle Verbreitung der einzelnen Versionen von Android genauer an, wird das ganze Ausmaß der beschriebenen Situation deutlich. Beinahe zwei Drittel aller Android-Devices sind potenziellen Gefährdungen ausgeliefert.

Dieser Schritt zwingt Nutzer geradezu, auf eine aktuelle Version des Google-Betriebssystems umzusteigen – sofern das mit dem Device überhaupt möglich ist. Gerade bei alten Geräten und Android-Versionen ist es üblich, dass die Updates vom Handyhersteller oder dem Carrier kommen; ein Patch muss also ohnehin viele Hürden nehmen.

...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang