> > > > Google schließt eigene Sicherheitslücke nach Kritik an Microsoft und Apple nicht

Google schließt eigene Sicherheitslücke nach Kritik an Microsoft und Apple nicht

DruckenE-Mail
Erstellt am: von

google 2013In den vergangenen Wochen betätigte sich Google gleich mehrfach als Mahner. Zunächst veröffentlichte man Details zu einem Sicherheitsproblem in Windows 8.1, nur wenige Tage später lenkte man das Interesse auf Apples OS X 10.9.5. In beiden Fällen hatte Google die Mitbewerber frühzeitig über die gefundenen Lücken informiert, sich aber dazu entschlossen, 90 Tage später damit an die Öffentlichkeit zu gehen.

Vor allem von Microsoft hagelte es dafür Kritik, denn zum Zeitpunkt der Bloßstellung durch Google war ein entsprechender Bugfix bereits fertiggestellt und sollte nur einen Tag später verteilt werden. „Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.“, so das Sicherheitsteam im Technet-Blog. Dass es Google aber womöglich gar nicht um den Schutz von Windows- und OS-X-Nutzern, sondern lediglich um Effekthascherei geht, zeigt der aktuelle Umgang mit einem Problem in Android. Denn die in der vergangenen Woche bekannt gewordene Sicherheitslücke in der WebView-Komponente der WebKit-HTML-Rendering-Engine bis einschließlich Android 4.3, die vom Android-Browser genutzt wird, wird laut Entwickler Adrian Ludwig nicht geschlossen.

Die Begründung: Der Aufwand sei aufgrund des umfangreichen Codes zu hoch. Betroffene sollen stattdessen auf die Browser Chrome und Firefox ausweichen. Aus der Welt geschafft wird das Problem damit jedoch nicht. Denn Applikationen greifen auch mit vorhandenem Alternativ-Browser auf die WebView-Komponente zu, Angreifer können die Lücke dementsprechend auch weiterhin ausnutzen. Und die Zahl der potentiellen Ziele ist hoch. Denn Android 4.3 und ältere Versionen kommen noch auf mehr als 600 Millionen Geräten zum Einsatz, bei denen in vielen Fällen klar ist, dass vom Hersteller kein Update auf eine jüngere Fassung des Betriebssystems erscheinen wird. Hier hilft laut Google nur ein Umdenken der Drittentwickler. Diese, so Ludwig, sollen ihre Apps einfach mit einem eigenen Renderer versehen, um auf die WebView-Komponenten nicht zugreifen zu müssen.

Eben diese Entwickler gehen mit Google und Ludwig in den Kommentaren zu seinem Beitrag jedoch hart ins Gericht. Die Rede ist unter anderem davon, dass es nicht die Aufgabe eines App-Entwicklers sei, Sicherheitslücken in einem Betriebssystem zu schliessen. Auch heißt es, dass ein eigener Renderer für die Meisten aufgrund der dafür notwendigen Ressourcen keine Alternative sei. Kritik richtet sich aber auch an Googles Distributionspolitik. Das Unternehmen hätte es versäumt, die Verteilung von derart wichtigen Update umzustellen. Statt diese selbst an die Nutzer auszuliefern, nehme man immer noch die Gerätehersteller sowie die jeweiligen Provider in die Pflicht, die meist jedoch keinerlei Interesse an Updates haben. In den Augen mehrerer Kommentatoren spielt aber auch der lediglich 18-monatige Support einer Android-Version eine Rolle.

Warum Google am Ende an andere höhere Ansprüche als an sich selbst stellt, beantwortete das Unternehmen bislang nicht.

Social Links

Ihre Bewertung

Ø Bewertungen: 1

Tags

Kommentare (18)

#9
customavatars/avatar40387_1.gif
Registriert seit: 19.05.2006
3. Planet
Kapitän zur See
Beiträge: 3661
Das (neue) Nexus 7 LTE hat noch immer kein Android 5. Ganz schön schwach was Google so macht. Das finde ich bei WP8 eindeutig besser.
#10
customavatars/avatar187427_1.gif
Registriert seit: 18.01.2013

Oberstabsgefreiter
Beiträge: 446
Ernsthaft? Was ist das denn für eine News?

Android ist mittlerweile bei Version 5.0.2
Diese Sicherheitslücke wurde bereits mit 4.4 behoben.
Mal davon abgesehen das man diese Lücke einfach damit umgehen kann wenn man anstelle des AOSP-Browsers einfach Chrome, Firefox, Opera, Naked Browser, Lightning oder irgendweinen anderen aktuellen mobilen Browser verwendet.

Was kommt als nächstes? "Sicherheitslücken in iOS 7 und Windowsphone 7 werden nicht mehr geschlossen" ?

...Netter Click-Bait
#11
customavatars/avatar97719_1.gif
Registriert seit: 29.08.2008

Oberleutnant zur See
Beiträge: 1436
Zitat ELIT3;23111248

Mal davon abgesehen das man diese Lücke einfach damit umgehen kann wenn man anstelle des AOSP-Browsers einfach Chrome, Firefox, Opera, Naked Browser, Lightning oder irgendweinen anderen aktuellen mobilen Browser verwendet.


Artikel gelesen? Offenbar nicht:

Zitat
Aus der Welt geschafft wird das Problem damit jedoch nicht. Denn Applikationen greifen auch mit vorhandenem Alternativ-Browser auf die WebView-Komponente zu, Angreifer können die Lücke dementsprechend auch weiterhin ausnutzen.
#12
customavatars/avatar187427_1.gif
Registriert seit: 18.01.2013

Oberstabsgefreiter
Beiträge: 446
Zitat Morrich;23111479
Artikel gelesen? Offenbar nicht:


Doch hab ich. Aber du scheinst das Problem und meinen Kommentar nicht verstanden bzw. dich nicht damit befasst zu haben. Daher versuche ich es dir mal ganz simpel zu erklären.

Die Sicherheitslücke betrifft WebView. Das Haupteinfallstor für Schadware ist damit der Browser, konkret der AOSP Browser weil dieser WebView verwendet.
Wenn man diesen nun gegen einen anderen aktuellen Browser austauscht hat man das Hauptproblem gelöst.
Andere Anwendungen greifen aber auch auf das Internet zu und wenn die Anwendung sich nicht an die aktuellen Sicherheitsstandarts von Android hält machen das die Anwendungen über WebView.
Daher sollte der AOSP Browser wei in meinem Kommentar erwähnt logischerweise komplett ausgetauscht bestenfalls gelöscht (oder wenn nicht möglich durch Veränderungen am System durch OEMs, "eingefroren" werden). Somit stellt WebView damit kein Problem mehr da.
Greift diese sich nicht an die Sicherheitsrichlinien haltende Anwendung über einen eigenen Browser der WebView verwendet (recht seltener Fall - weil zusätzliche Entwicklung) ist sogar möglich als Standart Browser in der jeweiligen Anwendgen einfach einen anderen als den integrierten oder den AOSP Browser zu verwendet und diesen auf einen aktuellen Browser umzustellen.
Ein Konretes Beispiel zum leichteren Verständnis: Die Facebook Anwendung ist ein weit verbreitetes Beispiel einer Anwenung die über einen eigenen Browser auf WebView zugreift, dort lässt sich einfach in den Einstellungen umstellen das der Content standartmäßig über einen anderen auf dem Gerät installierten Browser geöffnet werden soll, dies kann einer der bereits genannten aktuellen Browser sein. Somit greift die Facebook Anwendung nicht mehr mit eigenen unsicheren Browser auf WebView zu, folglich - Lücke umgangen.
#13
customavatars/avatar116788_1.gif
Registriert seit: 20.07.2009

Bootsmann
Beiträge: 584
mein nächstes device wird eh kein android sein ...totaler nillenkäse das OS.
#14
Registriert seit: 30.06.2004

Oberstabsgefreiter
Beiträge: 395
Was für ein Lügenvergleich. Google hat die Details der eigenen Sicherheitslücke schließlich nach genau den gleichen Kriterien veröffentlicht, wie die anderen auch.

Das überalte Versionen bereits aus dem Support-Zeitraum raus sind, hat damit doch überhaupt gar nichts zu tun.
#15
Registriert seit: 06.07.2011
BW
Hauptgefreiter
Beiträge: 234
Zitat ELIT3;23111717
Doch hab ich. Aber du scheinst das Problem und meinen Kommentar nicht verstanden bzw. dich nicht damit befasst zu haben. Daher versuche ich es dir mal ganz simpel zu erklären.

Die Sicherheitslücke betrifft WebView. Das Haupteinfallstor für Schadware ist damit der Browser, konkret der AOSP Browser weil dieser WebView verwendet.
Wenn man diesen nun gegen einen anderen aktuellen Browser austauscht hat man das Hauptproblem gelöst.
Andere Anwendungen greifen aber auch auf das Internet zu und wenn die Anwendung sich nicht an die aktuellen Sicherheitsstandarts von Android hält machen das die Anwendungen über WebView.
Daher sollte der AOSP Browser wei in meinem Kommentar erwähnt logischerweise komplett ausgetauscht bestenfalls gelöscht (oder wenn nicht möglich durch Veränderungen am System durch OEMs, "eingefroren" werden). Somit stellt WebView damit kein Problem mehr da.
Greift diese sich nicht an die Sicherheitsrichlinien haltende Anwendung über einen eigenen Browser der WebView verwendet (recht seltener Fall - weil zusätzliche Entwicklung) ist sogar möglich als Standart Browser in der jeweiligen Anwendgen einfach einen anderen als den integrierten oder den AOSP Browser zu verwendet und diesen auf einen aktuellen Browser umzustellen.
Ein Konretes Beispiel zum leichteren Verständnis: Die Facebook Anwendung ist ein weit verbreitetes Beispiel einer Anwenung die über einen eigenen Browser auf WebView zugreift, dort lässt sich einfach in den Einstellungen umstellen das der Content standartmäßig über einen anderen auf dem Gerät installierten Browser geöffnet werden soll, dies kann einer der bereits genannten aktuellen Browser sein. Somit greift die Facebook Anwendung nicht mehr mit eigenen unsicheren Browser auf WebView zu, folglich - Lücke umgangen.


Kann ja alles sein, aber wieviele Handynutzer sind in der lage, das Problem zu erkennen und entsprechend die Einstellungen zu ändern? Der 0815 User eben nicht! Und davon ist auszugehen.
Sicherheitslücken sollten von jedem Unternehmen geschlossen werden.
Problem hier ist, das man bei Android immer von Version x.x spricht. Patches wie bei M$, Adobe oder Apple gibt es in diesem Sinne garnicht.
Es schreit keiner nach neuen funktionen für die alten Android versionen, aber nach Sicherheitsupdates schon.

Der User soll auf seine Sicherheit achten, die Firma lässt uns aber im Stich, zu aufwendig bla bla.
#16
customavatars/avatar187427_1.gif
Registriert seit: 18.01.2013

Oberstabsgefreiter
Beiträge: 446
Man stellt es für die jeweilige Anwendung ganz einfach in deren Einstellungen als Standartbrowser ein und fertig. Schwer ist das nicht.

Natürlich gibt Patches. Beispielsweise für die aktuelle Version 5 gibt es nun 5.0.1 und 5.0.2 Das ist keine neue Version und den Patch gab es für diese Lücke quasi mit 4.4.
Wenn man noch ein Telefon mit 4.3 hat dann ist das das Problem des jeweiligen OEMs und nicht von Google, den diese bieten ja bereits eine Lösung, ja sogar bereits eine neue Version!

Indirekt werden damit sogar die OEMs dazu gedrängt ihren Kunden eine aktuelle Version für ihr Telefon zur verfügung zu stellen. Oder der Kunde lernt daraus und kauft sich beim nächsten mal ein Android Gerät welches nicht extrem angepasst ist und Updates erhält.
#17
customavatars/avatar84190_1.gif
Registriert seit: 03.02.2008
Stuttgart
Bootsmann
Beiträge: 594
Ja der Autor von diesen News ist halt auch nicht mehr der Jüngste!

Google hat es sofort bereit gestellt, wie alle anderen auch. Nur die diversen Herstellen entscheiden wie weit ZURÜCK der Patch eingearbeitet wird.

Viele Hersteller sehe halt eher die Zukunft in der Zukunft ( höher als 4.3) da eigentlich alle Smartphones die 3 Jahre jung sind ein Update von 4.4 erhalten haben.
Dazu kommt halt noch, das viele einfach keine Updates Installieren wollen, weil das System stabil läuft oder angst haben das es was verändert!
#18
customavatars/avatar113187_1.gif
Registriert seit: 09.05.2009

Oberbootsmann
Beiträge: 955
Das Hauptproblem ist eigendlich nicht Google selber sondern die Smartphonehersteller denen Ihre Endgeräte nach 6 Monaten schon scheissegal ist und die Sicherheit Ihrer Kunden mit Füssen treten!
Wenn die auch ihre etwas betagteren Modelle, sofern technisch möglich, auf aktuelle Androidversionen heben würden, gäbe es das Problem so gar nicht. Sicher sind uralt Smarties unter z.B. 5.0 nicht lauffähig aber die absolute Mehrheit der in den letzen 2-3 Jahren hergestellten Geräte sollten das Problemlos können.

Alternativ gibts ja auch Cyanogenmod für sehr sehr viele Geräte deren Hersteller schon den Support eingestellt haben.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Windows 10 Anniversary Update ist verfügbar (Update)

Logo von IMAGES/STORIES/LOGOS-2015/WINDOWS_10_LOGO

Auf der diesjährigen Build wurde ein großes Update für Windows 10 angekündigt. Ab heute ist dieses Anniversary Update nun verfügbar. Per Pressemeldung informiert Microsoft über die wichtigsten Neuheiten. Windows 10-Nutzer erhalten das Update kostenlos und automatisch über Windows Update. Es... [mehr]

Microsoft spickt Windows-10-Anniversary-Update mit mehr Werbung

Logo von IMAGES/STORIES/LOGOS-2015/WINDOWS_10_LOGO

Microsoft hat mit Windows 10 vieles richtig gemacht: Das neue Startmenü hat viele Freunde gefunden, DirectX 12 ist für Gamer ein Sprung nach vorne und die Stabilität und Performance des Betriebssystems macht so manche Schlappe um Windows 8 und 8.1 vergessen. Dass das Upgrade auf Windows 10 noch... [mehr]

Windows 10: Gratis-Upgrade wird bald kostenpflichtig

Logo von IMAGES/STORIES/LOGOS-2015/WINDOWS_10_LOGO

Microsoft macht wohl ernst und wird das Upgrade von einer älteren Windows-Version auf Windows 10 ab Ende Juli kostenpflichtig anbieten. Seit dem Erscheinen von Windows 10 können Besitzer von Windows 7 und 8.1 kostenlos auf die aktuelle Generation upgraden. Hierfür werden die nötigen... [mehr]

Windows 10 vor dem Ende des kostenlosen Updates - Was war, was kommt

Logo von IMAGES/STORIES/LOGOS-2015/WINDOWS_10_LOGO

Fast ein Jahr hat Microsofts aktuellstes Betriebssystem bereits auf dem Buckel. Windows 10 sollte die Erlösung für das Unternehmen aus Redmond werden – der langersehnte Neuanfang und die Ablöse von Windows 7 als meistgenutztes Betriebssystem. Von 2012 bis 2015 tat das Chaos um Windows 8 und... [mehr]

Windows 10: Gratis-Update wird wohl nicht verlängert

Logo von IMAGES/STORIES/LOGOS-2015/WINDOWS_10_LOGO

Boris Schneider-Johne hat in der PC- und Spiele-Community einen hohen Status: Nicht nur, dass er als Redakteur für die Zeitschriften PowerPlay und PC Player zu den Urgesteinen des deutschen Spielejournalismus zählt, er übersetzte in den 1980er- und 1990er-Jahren für Lucasfilm Games bzw.... [mehr]

iOS 10: Apple renoviert Maps, Music, iMessage und mehr (Update)

Logo von IMAGES/STORIES/LOGOS-2015/APPLE_LOGO

Erwartungsgemäß hat Apple auf der diesjährigen WWDC nicht nur das nächste große Update für das nun macOS genannte PC-Betriebssystem vorgestellt, auch iOS 10 wurde viel Zeit eingeräumt. Revolutionäre Neuerungen kündigte man nicht an, in weiten Teilen bringt man die Plattform und ihre... [mehr]