Google hat entschieden, dass es keine WebView-Updates für viele Android Geräte mehr geben wird. Betroffen sind alle Versionen bis Android 4.4, also 4.3 und älter. Was das für Folgen hat und wie Benutzer und Hersteller darauf reagieren werden ist noch offen, doch so viel steht fest: Sicherheit ist was anderes.
Zu WebView: WebView ist die zentrale Komponente von Android, die Webseiten rendert (also HTML-Daten in fancy Bilder und Text umwandelt), doch dabei gibt es im Bereich Javascript einige Bugs (dazu später mehr).
Kein Support mehr: Folgen und Gründe
Fast eine Milliarde Android Geräte, was ca.60% aller Android Geräte ausmacht, werden dem zu Folge nicht mehr mit WebView-Updates beliefert, was heißt, dass in diesen Geräten eine bekannte Lücke im WebView von Android bestehen bleibt und nicht gefixt wird.
Als Grund hierfür nennt Google, dass Jelly Bean (also Android 4.1.x bis 4.3) und alle vorherigen Versionen zu alt wären. Es ist zwar oft so, dass Software, die zwei oder drei Versionen zurück liegt nicht mehr mit (allen) Updates versorgt wird, dennoch ist die Zeitspanne, im Vergleich zu Windows oder anderen Software Produkten, zwischen Android Versionen relativ kurz.
Sicherheitslücke im WebView
Die eigentliche Sicherheitslücke im WebView ermöglicht es dabei einem Hacker über eine Lücke im SOP (same-origin-policy) persönliche Daten abzugreifen und Seiten zu manipulieren. Sinn der SOP ist es zu verhindern, dass zwei Javascript Programme auf einer Website, die von verschiedenen Domains kommen, mit einander interagieren. Durch eine Lücke kann ein Hacker dies jedoch bewirken und so etwa Sitzungen einer Website übernehmen um z.B. Nachrichten auf sozialen Netzwerken zu senden und zu lesen.
Schwieriges updaten von Android Versionen
Bei den meisten Bestriebssystemen kann man relativ einfach auf eine neue Version wechseln. In Linux braucht man einfach sudo apt-get dist-upgrade eingeben und bei bei Windows ist es kein irsenig großer Kraftakt. Bei Android sieht das allerdings anders aus: Manche Hersteller bieten zwar Update Lösungen an, aber meistens keine Updates auf Android 4.4 oder gar 4.5. Allgemein ist es nicht so einfach von z.B. 4.1.x auf 4.4 zu wechseln, da bedarf es schon eines Tutorials und ggf. einer Menge Zeit.
Statement
(eigene Meinung)
Ich finde es natürlich nicht gut, dass Google einfach mal 60% alle Android-Nutzer im Regen stehen lässt, ich kann aber verstehen, dass sie nicht diverse Versionen von Komponenten unterstützen möchten (rein vom Aufwand her). Dennoch bin ich der Meinung, dass Google eine gewisse Verantwortung besitzt (vor allem bei so vielen Nutzern) und deshalb weitere Updates für den WebViewer entwickeln und veröffentlichen sollte.
Pingback: Android hack: So schwerwiegend kann ein Hackerangriff sein - [curi0sity]