26Aug
Der Webbrowser in Android 4.3 und früher hat viele große Sicherheitsprobleme, und Google wird es nicht mehr patchen. Wenn Sie ein Gerät mit Android 4.3 Jelly Bean oder früher verwenden, müssen Sie etwas unternehmen.
Dieses Problem ist in Android 4.4 und 5.0 behoben, aber mehr als 60 Prozent der Android-Geräte stecken auf Geräten, die keine Sicherheitsupdates erhalten.
Warum Google den Android 4.3-Browser nicht mehr patcht
Android-Betriebssystemupdates sind ein Durcheinander. Hersteller stellen eine große Anzahl verschiedener Telefone bereit und modifizieren den Code ausgiebig. Google kann nicht nur das Betriebssystem auf Ihrem Gerät aktualisieren. Sie können nur neuen Code veröffentlichen und hoffen, dass der Hersteller des Geräts und Ihr Mobilfunkanbieter Ihnen die harte Arbeit abnehmen.
Traditionell wurden die meisten Android-Komponenten auf Betriebssystemebene installiert. Dazu gehört der integrierte Browser "Browser". Wichtig ist, dass der Browser selbst und die zugrunde liegende Rendering-Engine in das Betriebssystem integriert sind. Die Browser-Engine wird in jeder Android-App verwendet, die einen eingebetteten Webbrowser verwendet, der als "WebView" bezeichnet wird.
Dieser integrierte Browser basiert auf einer alten Version von WebKit, und kürzlich wurde ein schwerwiegender Fehler entdeckt und gemeldetGoogle. Google hat keine Möglichkeit, ein Update direkt an Android-Nutzer zu senden, um dieses Problem zu beheben. Es muss durch ein Betriebssystemupdate behoben werden, das von Geräteherstellern und Netzbetreibern verlangt wird.
Leider haben viele Gerätehersteller, selbst wenn Google Sicherheitsupdate-Code für den Browser von Android 4.3 veröffentlicht hat, die Fixes nicht einmal an ihre Benutzer ausgeliefert. Die einzige Rettung ist, dass viele Android-Geräte mit Google Chrome ausgeliefert wurden und Nutzer bei der Verwendung von Chrome auf diesen Geräten sicher sind - aber auch nicht bei der Verwendung anderer Apps mit eingebetteten Webbrowsern.
Die meisten Android-Nutzer sind gestrandet, aber Android 4.4 und neuer sind
behoben Google hat daran gearbeitet, Updates für Android-Betriebssysteme weniger wichtig zu machen und mehr Funktionen aus dem Kernbetriebssystem zu entfernen, damit sie über Google Play aktualisiert werden können. In Android 4.4 kann der integrierte Browser schnell von Geräteherstellern mit einem kleinen Patch aktualisiert werden. In Android 5.0 wird der Browser von Google direkt über Google Play aktualisiert.
Aber mehr als 60 Prozent der Geräte verwenden laut eigenen Angaben Android 4.3 und niedriger. Google hat keinen "Patch" für Android 4.3 veröffentlicht, aber - falls doch - wäre es Sache der Handy-Hersteller und Mobilfunkanbieter, diese zu veröffentlichen. Wirklich, Google sieht das Aktualisieren von Geräten auf Android 4.4 als die Reparatur, und die Gerätehersteller sollten stattdessen daran arbeiten.
Wir wollen Google hier nicht freisprechen. Es ist eine schlimme Entscheidung, den Browser so tief in das Betriebssystem einzubauen, dass er nicht schnell genug aktualisiert werden kann, um Sicherheitslücken zu schließen. Wir können nur dankbar sein, dass sie jetzt die Funktionsweise moderner Android-Versionen geändert haben. Gerätehersteller und Mobilfunkanbieter verdienen einen großen Teil der Verantwortung dafür, Geräte nicht sofort aktualisiert zu haben. Wenn Sie ein Telefon gekauft haben, das einen Zweijahresvertrag abgeschlossen hat, sollten Sie das Gerät zumindest für die Dauer des Vertrags mit Sicherheitsupdates aktualisieren!
So bleiben Sie sicher auf Android 4.3 und früheren Versionen
Aber dies ist nicht nur eine interessante Debatte zwischen Google und Sicherheitsexperten online. Die Realität ist, dass die meisten Android-Benutzer einen anfälligen Webbrowser verwenden, und Sie möglicherweise einer von ihnen sein. So können Sie so sicher wie möglich bleiben:
- Installieren und Verwenden eines anderen Webbrowsers : Verwenden Sie nicht die integrierte App "Browser", um im Internet zu surfen. Installieren Sie stattdessen einen Browser wie Mozilla Firefox oder Google Chrome von Google Play. Chrome funktioniert nur unter Android 4.0 und höher, aber Mozilla Firefox funktioniert immer noch unter Android 2.3 Gingerbread. Diese Browser verfügen über eigene Rendering-Engines, sodass sie nicht die Browser-Engine des Systems verwenden. Sie werden auch häufig über Google Play aktualisiert. Sie werden diese Browser wahrscheinlich schneller finden als den integrierten Browser, wenn Sie ein älteres Gerät mit älterem integrierten Browsercode haben!
- Vermeiden Sie das Browsen mit eingebetteten Webbrowsern : Wenn Sie nur einen Browser eines Drittanbieters verwenden, können Sie nicht alles reparieren, da Sie immer noch gefährdet sind, wenn Sie einen eingebetteten Webbrowser in einer App verwenden - diese verwenden das "WebView" des Systemsist verletzlich. Vermeiden Sie das Surfen mit eingebetteten Browsern, wenn Sie eine anfällige Version von Android haben. Bleiben Sie bei einer dedizierten Browser-App wie Firefox oder Chrome.
Google hat den Entwicklern von Android-Apps sogar empfohlen, Browser-Engines in ihren Apps auf Android 4.3 und früher zu bündeln. Nur so können sie sicherstellen, dass ihre integrierten Browser sicher und geschützt sind. Dies ist ein schmutziger Hack um den verrottenden Browser-Code in Android selbst. Es ist eine ziemlich verrückte Empfehlung, aber die Entwickler möchten das vielleicht in Betracht ziehen - vor allem, wenn die Sicherheit für die App besonders wichtig ist.
Also, wie viel Risiko ist das wirklich? Nun, wir haben noch nie von jemandem gehört, der es ausbeutet. Aber das klare Signal von Google, dass 60 Prozent aller aktuellen Android-Geräte keine Browser-Sicherheitspatches erhalten, war für Angreifer sicherlich willkommen. Wir gehen davon aus, dass Android-Browser-Exploits ihren Weg in verschiedene Massenmarkt-Sammlungen von Exploits finden werden, da Google den auf den meisten Android-Geräten verwendeten Browser verlässt und eine Lücke offen lässt, ohne das Risiko, dass Patches die Probleme beheben.
Es ist ein bisschen wie bei den Sicherheitsproblemen mit Windows XP - wenn Windows XP immer noch von der Mehrheit der Benutzer verwendet wurde, als es aufgegeben wurde. Ja, das Android-Ökosystem ist ein Durcheinander. Es sollte Google möglich sein, Browsersicherheitsupdates für ihre Benutzer zu erhalten, dies ist jedoch nicht möglich.
