Verwundbar

Altes Android: Sicherheitslücken sorgen erneut für Aufregung

Eine Sicherheitslücke in alten Android-Versionen gefährdet Smartphones. Angreifer konnten Apps installieren und diese starten. Google bleibt allerdings bei seiner harten Linie und lässt Nutzer im Regen stehen - denn Updates sind nicht zu erwarten. Es gibt aber einen Weg, für mehr Sicherheit zu sorgen.
Von Hans-Georg Kluge
AAA
Teilen

Google lässt Sicherheitslücken in alten Android-Versionen bewusst offen.Google lässt Sicherheitslücken in alten Android-Versionen bewusst offen. Offene Sicherheitslücken gefährden Nutzer älterer Android-Versionen. Sicher­heits­ex­per­ten haben in der Browser-Komponente von Android 4.3 und älter einige Lücken entdeckt, die beispiels­weise die Installation und das Starten von Apps ermöglichen. Dies berichtet das Online-Magazin heise.de. Über eine bekannte, aber nicht behobene Sicherheits­lücke im Systembrowser von alten Android-Versionen konnten Angreifer über den Webstore von Google Play Apps installieren und starten. Das gelang, weil Google den Webdienst nicht ausreichend vor Cross-Site-Scripting-Angriffen (XSS) abgesichert hat. Der Angriff sei mittlerweile aber nicht mehr möglich, da Google eine provisorische Maßnahme getroffen habe und betroffenen Browsern einfach eine Fehlermeldung schickt. Eine weitere Sicherheitslücke sorgt dafür, dass Angreifer auf alle Cookies des verwundbaren Browsers zugreifen können.

Im Prinzip sind die Entdeckungen weder neu noch überraschend - die eingesetzte XSS-Lücke ist schon länger bekannt. Einzig die eingesetzte Angriffs-Kombination ist neu. Somit ist wiederum klar: Basierend auf der gefährlichen Sicherheitslücke werden auch künftig neue Angriffs-Szenarien entwickelt werden, die für Nutzer alter Android-Versionen enorme Gefahrenquellen bergen. Denkbar sind auch Attacken auf Mail-Dienste oder soziale Netzwerke - so lange der Nutzer diese per Android-Browser nutzt und dort angemeldet ist. Schon lange hat Google den Support für alte Android-Versionen weitgehend eingestellt. An der fraglichen Browser-Komponente in alten Android-Versionen wird Google denn auch nicht mehr arbeiten - sodass Nutzer den Attacken ausgeliefert sind.

Konkret betroffen: Android-Browser und WebView

Unklar ist allerdings, ob alle Nutzer von alten Android-Versionen von den Sicherheitslücken betroffen sind. Viele Hersteller entwickeln eigene Browser, die möglicherweise Updates erhalten oder gegebenenfalls bereits abgesichert sind. Es ist aber anzunehmen, dass gerade Hersteller abseits der bekannten Marken auf den Standard-Android-Browser setzen. Das bedeutet: Hinter dem Homescreen-Icon Internet oder Browser verbirgt sich nicht zwangsläufig der verwundbare Android-Browser.

Eine weitere problematische Komponente ist das sogenannte WebView. Diesen Android-System-Dienst können Apps verwenden, um Web-Inhalte anzuzeigen. Bis einschließlich Android 4.3 kamen meist veraltete Versionen der Darstellungs-Engine Webkit zum Einsatz. Da WebView für den Nutzer oft unsichtbar eingesetzt wird, ist die Gefahr innerhalb von Anwendungen hoch. Erst Android 4.4 brachte deutliche Verbesserungen in puncto Ge­schwin­dig­keit und Sicherheit. Seit Android 5.0 Lollipop kann Google WebView über den Play Store unabhängig von System-Updates aktualisieren.

Abhilfe: Alternative Browser verwenden

Abhilfe schafft einzig, einen alternativen Browser zu installieren und nur diesen zu nutzen. Dabei muss der Browser seine eigene Darstellungs-Engine mitbringen und nicht auf WebView setzen. Damit kommen nur Surf-Apps wie beispielsweise Google Chrome, Mozilla Firefox, Opera oder Dolphin infrage. Diese Lösung hilft allerdings nicht im Falle von Apps, die auf WebView setzen.

Dass Google ältere Android-Versionen nicht mehr mit Sicherheits-Updates versorgen möchte, ist für Nutzer allerdings nur das eine Ärgernis. Selbst wenn es Aktualisierungen für die anfälligen System-Komponenten gäbe, müsste der Hersteller des Smart­phones oder Tablets diese an die Nutzer verteilen - auch dabei könnte es zu langen, wenn nicht unendlichen, Verzögerungen kommen.

Eine Übersicht über alternative Android-Browser haben wir in einer eigenen Meldung zusammengestellt.

Teilen

Mehr zum Thema Sicherheit