Im vorinstallierten Android-Browser klafft eine neue Sicherheitslücke, welche über 50 Prozent der Besitzer betrifft. Was ist die Lösung?
Der Android-Browser ist unsicher
Ach ja, du schöne, unschöne Android-Welt: Einerseits ist die Offenheit und Flexibilität eine tolle Sache, andererseits sind Tür und Tor offen für verschiedene Arten von Problemen. So wie aktuell.
Nachdem vor ein paar Wochen bekannt wurde, dass aufgrund einer Sicherheitslücke im Android Standard-Browser die Daten von geöffneten Webseiten ausgelesen können, steht der Browser erneut am Pranger. Wie zum Beispiel „heise Security“ meldet, ist es über einen Exploit möglich, dem User ungefragt Apps unter zu jubeln und diese auch auszuführen. Trojaner, ick hör euch trapsen.
Betroffen von dieser Universal Cross-Site-Scripting (UXSS)-Lücke sind alle Android-Versionen unter 4.4 (KitKat) – also eine große Menge. Laut aktuellen Google-Daten sind das über 50 Prozent aller Android-Smartphones und -Tablets.
Was macht Google dagegen?
Laut den Sicherheitsforschern von „Rapid 7“ wird die Lücke – zum Glück – noch nicht massiv ausgenutzt. Es ist aber zu befürchten, dass das nicht lange so bleiben wird. Zumal Google nicht großartig reagiert. Ja, man kann sagen: Dem Web-Giganten ist es scheißegal.
Denn Google kündigte bereits kürzlich an, dass man keine Sicherheitslücken im bis Android 4.3 vorinstallierten Basis-Browser mehr stopfen werden. Stattdessen rät man den Usern, sich einen anderen Browser zu installieren. Hierbei solle darauf geachtet werden, dass dieser eine eigene Rendering-Engine besäße, wie es beispielsweise bei Firefox, Opera und Chrome der Fall ist.
Imageschaden für Android
Android ist kein schlechtes Betriebssystem. Aber durch solche Sicherheitsmängel und deren Nicht-Beseitigung leidet mal wieder das Image. Und es fließt erneut Öl ins Feuer der ewigen Diskussion, welches mobile Betriebssystem das bessere sei. Ich kann mir jetzt sehr gut die grinsenden Gesichter in Cupertino vorstellen…
Ist das euer Ernst?
Liebe Google-Manager, das kann doch nicht euer Ernst sein, oder? Ihr überflutet die Welt mit eurem mobilen Betriebssytem und dann kümmert ihr nicht mehr um die Sicherheit? Ex und hopp, ohne Rücksicht auf Verluste. Guter Kundenservice sieht anders aus. Zumal es ja hier nicht um banale Dinge geht: Die Sicherheit von Millionen Smartphones und Tablets steht auf dem Spiel – und ihr schaut dabei einfach zu und gebt den lapidaren Kommentar, man möge einen anderen Browser benutzen. Hallo, geht’s noch? Offensichtlicher kann man seine Kunden nicht in die Arme der Konkurrenten treiben.
Bild: Ute Mulder / pixelio.de
Deine Jobbörse in der Digital-Welt
Wir tun jeden Tag, was wir lieben. Das kannst du auch! Über 20.000 Traumjobs in der IT- und Digital-Welt warten nur auf dich in der BASIC thinking-Jobbörse. Gleich reinschauen und entdecken!
Was soll Google auch großartig machen? Das Paket com.android.browser wird während der Kompilierung von jedem Hersteller mit seinen eigenen Keys signiert. Dadurch ist es für Google unmöglich ein Update über den Play Store auszurollen. Und wenn sie jetzt einen Patch veröffentlichen würden, würde dieser doch ohnehin niemals auf den sich jetzt im Umlauf befindlichen Smartphones landen.
@Philipp: Das kapieren Sie hier sowieso nicht. Sie behaupten ja auch Google würde nichts machen (was schlichtweg falsch ist). Das Thema ist längst durch nur die Pappnasen von Basic Thinking haben dann ca. 1 Monat nach der Nachrichtenwelle zu dem Thema dann nochmal – komplett unrecherchiert – hier in den Blog gebracht. Sorry, total peinlich!
@Philipp ein Browserupdate ist auch nicht die Lösung. Am besten die killen den Browser per Software Update. Dann muss sich der User einen neuen Browser im Play Store suchen -> Problem gelöst.
@Meister Lampe: Wenn wir unrecht haben sollten – dann kläre uns bitte auf!
Schuld sind die Hersteller, nicht Google.
Wenn die Hersteller es nicht schaffen das OS aktuell zu halten, sollte man die Hersteller rügen!
@kroder Wie bereits weiter oben erklärt, ist der Browser kein Paket von Google und Google hat die Signing Keys nicht.
Der Browser ist auf Android 4.3 und kleiner ein Paket des Telefonherstellers und nur der hat die Signing Keys dafür. Google kann also so viel Updates bereitstellen wie sie wollen, aber das Update kann nicht installiert werden, weil nicht korrekt signierbar.
Der Telefonhersteller (Samsung, LG, Sony, …) muß das Paket als Teil eines Android OTA Updates ausrollen. Wenn er das täte, hätte das Telefon jedoch kein Android 4.3 oder kleiner mehr, sondern wäre auch schon auf 4.4 oder gar 5.0.2. Dort besteht das Problem nicht nur nicht mehr, sondern obendrein wäre die betreffende Browserkomponente nicht mehr Teil des Systemkerns, sondern unabhängig aktualisierbar.
Das alles ist vor mehr als 4 Wochen lang und breit diskutiert worden. Ihr seid spät dran, und sachlich falsch.
Danke Kristian für die Erläuterung.
Dass es Google nicht möglich ist, sich um die Sicherheit seines Betriebssystem zu kümmern, zeigt doch ganz deutlich, dass hier der Wurm drin steckt.
Vor dem Kunden, der die ganze Problematik nicht kennt, zeigt sich nur: Android = unsicher, da Google nicht reagiert bzw nicht reagieren kann.
Das spielt natürlich iOS in die Karten.
@Jürgen Kroder die Argumentation hinkt weiter. Um es zu verdeutlichen Wechsel ich im Beispiel mal auf den Rechner: Du hast auf deinem Windows-/ Apple- oder Linux-System Adobe Flash installiert, oder um bei Browsern zu bleiben nehmen wir Firefox/Opera, installiert. Dann taucht da eine Sicherheitslücke auf. Diese wird von Adobe, Mozilla oder Opera nicht behoben… Dann ist nach eurer Logik Microsoft, Apple oder der jeweilige Linux-Distributor der Schuldige. Merkt ihr eventuell an diesem Beispiel, dass ihr auf dem Holzweg seid?
Nicht immer ist Google an allem schuld, hier wären Samsung, Sony, LG, Huawei und Co in der Pflicht…
Gruß Thomas
@Jürgen Kroder: Google kann sich kümmern, aber nur um die Oroginalversion. Das was es mittels Samsung, LG etc. auf die Smartphones schafft ist aber kein original Android! Statt also immer und immer wieder zu wiederholen, dass Google ja so schlecht ist, schreibe doch mal wie Google die einzelnen Hersteller zu einem Update zwingen soll? Den User würde es sicher freuen.
Bin gespannt was jetzt kommt.
Ich lese hier unheimlich gerne mit und schätze eure Informationen sehr, aber bei diesem Artikel muss ich meinen Mitkommentierenden wirklich zustimmen. Dass Google sich um Module/Versionen von vor zwei Jahren nicht kümmert ist das eine (machen schließlich andere auch), aber reißerische Dinge wie, Google kümmere sich einen scheiß um seine Kunden, ist einfach falsch. Es ist und bleibt eine Komponente, die nicht von Google gepflegt werden muss und (evtl. sogar) kann, wenn neunmal jeder sein eigenes Süppchen kocht. Die Alternative einen anderen Browser zu benutzen und dabei sogar die Konkurrenz vorzuschlagen, verdient von mir sehr viel Respekt und zeigt vielmehr, wie Ernst Google das Thema nimmt und doch vermutlich selber sehr machtlos ist…
Und ab 4.4 haben wir die ganzen Probleme nicht mehr, und auch die Version ist bald zwei Jahre alt!
@all Ihr habt Recht: Ich habe mich bei meinem Fazit vergallopiert. Deswegen habe ich den letzten Absatz gestrichen und durch einen neuen ersetzt.
Warum wurde denn der letzte Rest hier durchgestrichen? Erst da kommt doch die finale Meinung dazu. Achja…ich sehe es jetzt auch in den Kommentaren…dacht schon. Ja stimmt, der Artikel kommt ziemlich spät. Kein Chapeau. Das waren noch Zeiten als Jürgen schrieb. Meine subjektive Meinung. LG trotzdem. Besser recherchieren.
Nachtrag: Ich meinte Jürgen V.
Ich denke, dieses ewige „das treibt alle zu iOS“ kann man sich sparen. Denn iOS ist nur für diejenigen eine Alternative, die ihre gesamte Rechnerstruktur auf Apple umstellen können und wollen.
Ein Windowscomputer udn ein iPhone spielen nur bedingt miteinander, da ja Apple sein gesamtes System abgeschottet hat.
Ebenso sieht der Datenaustausch mit Android aus.
Das macht es sehr sicher, ja. Aber grenzt auch ab.
Klar, das Kommunikationsproblem lässt sich jetzt mit etlichen Messengern umgehen, aber das ist nicht im Sinne des Erfinders.
Vielmehr könnte BasicThinking hier mal beweisen, dass sie recherchieren können: macht doch mal einen großen Bericht darüber, wie die Smartphonehersteller mit Updates umgehen.
Wie lange für Updates gebraucht wird, wie viele Smartphones überhaupt Updates bekommen – und wie lange die einzelnen Hersteller Kundenservice betreiben.
Denn eines ist mal klar: an Androidupdates verdienen die Hersteller nichts. Vielmehr müssen sie Geld dafür ausgeben, alte Geräte am laufen zu halten anstatt zu sagen „kauft euch doch den Nachfolger.“
Allerdings hat bisher wohl nur Apple verstanden, dass dieser Service zwar kostet, aber andererseits auch Markentreue fördert.
In den Bericht könnte auch einfließen, wie die Produktpolitik der einzelnen Hersteller aussieht. Denn Samsung zum Beispiel hat Serien – Galaxy 3, 4, 5 und so, während andere Hersteller irgendwelche Phones auf den Markt werfen udn sich dann sofort Neuem zuwenden.
Also – welches gestern gekaufte Smartphone ist auch morgen noch aktuell und auf welche Hersteller ist Verlass? 🙂
Ich denke, so eine Reportage bringt mehr als immer nur zu sagen „und nun rennt alle zu Apple, da ist das Gras viel grüner und die Luft besser!“
Der Hinweis auf Apple ist gut – das Gras viel grüner..hihi 🙂
Ich muss aber acuh sagen. Als Andorid nutzer, ist es einem egal ob es nun der Hersteller oder Google ist.
An den faktum das es nicht gefixt wird bei vielen, ändert sich ja nix.
Hier müsste Googel dann eben die Hersteller zwingen. Das OS updtefähig zu halten. Oder Sie zu zwingen das OS Aktuell zu halten.
Der Kunde ist der, wo angeschissen ist.
Des weiteren sollte Googel die Nutzer auch Informieren. Nicht jeder ließt das im Netz. Die Email Addys hat Googel ja wegen den Playstore.
Ich denke für den vorinstallierten Android Browser gibt es genügend Alternativen. Ausserdem sollte auf jedem Androidgerät auch eine Sicherheitssoftware installiert sein, die das Risiko eventueller Sicherheitslücken minimiert.
„Ich denke, dieses ewige „das treibt alle zu iOS“ kann man sich sparen. Denn iOS ist nur für diejenigen eine Alternative, die ihre gesamte Rechnerstruktur auf Apple umstellen können und wollen.
Ein Windowscomputer udn ein iPhone spielen nur bedingt miteinander, da ja Apple sein gesamtes System abgeschottet hat.“
Inwiefern?? Alles, was es zur Kommunikation zwischen PC und iPhone braucht, ist eine aktuelle Windows-Version von iTunes, die man sich kostenlos überall runterladen kann, damit hat man dann auch Zugriff auf den iTunes- und App-Store. Ich sehe da überhaupt keine Probleme. Android-Geräte sind halt nur insofern praktischer, weil man sie wie einen USB-Stick verwenden und die Dateien direkt aus dem Explorer draufziehen kann und nicht den Weg über iTunes gehen muss.
Zum eigentlichen Thema: Klar tragen da die Smartphone-Hersteller die Verantwortung dafür, dass ihre Handys sicher sind. Das Problem ist einfach, dass Android auf Hunderten verschiedener Handymodelle läuft. Oft ist es so, dass im Prinzip nur die teuren Top-Modelle mit aktuellem Betriebssystem ausgestattet sind und die günstigeren Modelle teilweise mit längst veralteten und dementsprechend unsicheren OS-Versionen in den Handel kommen. Da relativieren sich dann auch die angeblich völlig „überteuerten“ Preise bei Apple etwas, über die viele Android-User ja gerne lästern. Wenn ich mir aber bei Android alle 2 Jahre ein neues Handy kaufen muss, um einigermaßen sicher unterwegs zu sein, weiß ich nicht, ob ich da günstiger wegkomme. Es spielt letztlich für den Endverbraucher auch keine Rolle, wer für das Desaster verantwortlich ist, aber dass 60 % aller im Einsatz befindlichen Geräte nun schwerwiegendste Sicherheitsmängel aufweisen bei einer sich rasant ausbreitenden Zahl von Schädlingen und dagegen nichts unternommen wird außer dem lapidaren Kommentar Googles, man möge sich halt einen anderen Webbrowser installieren, ist einfach inakzeptabel. Einerseits will Google sein Betriebssystem möglichst auf 90 % aller Handys bringen, andererseits stiehlt man sich beim Thema Sicherheit dann aus der Verantwortung. Da lobe ich mir das gute Gefühl, zu wissen, dass Apple sich um die Sicherheit meines iPhones kümmert und jede App, die den Weg auf mein Handy findet, zuvor auf Herz und Nieren überprüft wurde.