> > > > Google schließt eigene Sicherheitslücke nach Kritik an Microsoft und Apple nicht

Google schließt eigene Sicherheitslücke nach Kritik an Microsoft und Apple nicht

Veröffentlicht am: von

google 2013In den vergangenen Wochen betätigte sich Google gleich mehrfach als Mahner. Zunächst veröffentlichte man Details zu einem Sicherheitsproblem in Windows 8.1, nur wenige Tage später lenkte man das Interesse auf Apples OS X 10.9.5. In beiden Fällen hatte Google die Mitbewerber frühzeitig über die gefundenen Lücken informiert, sich aber dazu entschlossen, 90 Tage später damit an die Öffentlichkeit zu gehen.

Vor allem von Microsoft hagelte es dafür Kritik, denn zum Zeitpunkt der Bloßstellung durch Google war ein entsprechender Bugfix bereits fertiggestellt und sollte nur einen Tag später verteilt werden. „Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.“, so das Sicherheitsteam im Technet-Blog. Dass es Google aber womöglich gar nicht um den Schutz von Windows- und OS-X-Nutzern, sondern lediglich um Effekthascherei geht, zeigt der aktuelle Umgang mit einem Problem in Android. Denn die in der vergangenen Woche bekannt gewordene Sicherheitslücke in der WebView-Komponente der WebKit-HTML-Rendering-Engine bis einschließlich Android 4.3, die vom Android-Browser genutzt wird, wird laut Entwickler Adrian Ludwig nicht geschlossen.

Die Begründung: Der Aufwand sei aufgrund des umfangreichen Codes zu hoch. Betroffene sollen stattdessen auf die Browser Chrome und Firefox ausweichen. Aus der Welt geschafft wird das Problem damit jedoch nicht. Denn Applikationen greifen auch mit vorhandenem Alternativ-Browser auf die WebView-Komponente zu, Angreifer können die Lücke dementsprechend auch weiterhin ausnutzen. Und die Zahl der potentiellen Ziele ist hoch. Denn Android 4.3 und ältere Versionen kommen noch auf mehr als 600 Millionen Geräten zum Einsatz, bei denen in vielen Fällen klar ist, dass vom Hersteller kein Update auf eine jüngere Fassung des Betriebssystems erscheinen wird. Hier hilft laut Google nur ein Umdenken der Drittentwickler. Diese, so Ludwig, sollen ihre Apps einfach mit einem eigenen Renderer versehen, um auf die WebView-Komponenten nicht zugreifen zu müssen.

Eben diese Entwickler gehen mit Google und Ludwig in den Kommentaren zu seinem Beitrag jedoch hart ins Gericht. Die Rede ist unter anderem davon, dass es nicht die Aufgabe eines App-Entwicklers sei, Sicherheitslücken in einem Betriebssystem zu schliessen. Auch heißt es, dass ein eigener Renderer für die Meisten aufgrund der dafür notwendigen Ressourcen keine Alternative sei. Kritik richtet sich aber auch an Googles Distributionspolitik. Das Unternehmen hätte es versäumt, die Verteilung von derart wichtigen Update umzustellen. Statt diese selbst an die Nutzer auszuliefern, nehme man immer noch die Gerätehersteller sowie die jeweiligen Provider in die Pflicht, die meist jedoch keinerlei Interesse an Updates haben. In den Augen mehrerer Kommentatoren spielt aber auch der lediglich 18-monatige Support einer Android-Version eine Rolle.

Warum Google am Ende an andere höhere Ansprüche als an sich selbst stellt, beantwortete das Unternehmen bislang nicht.

Social Links

Ihre Bewertung

Ø Bewertungen: 1

Tags

Kommentare (18)

#9
customavatars/avatar40387_1.gif
Registriert seit: 19.05.2006
3. Planet
Kapitän zur See
Beiträge: 3717
Das (neue) Nexus 7 LTE hat noch immer kein Android 5. Ganz schön schwach was Google so macht. Das finde ich bei WP8 eindeutig besser.
#10
customavatars/avatar187427_1.gif
Registriert seit: 18.01.2013

Oberstabsgefreiter
Beiträge: 470
Ernsthaft? Was ist das denn für eine News?

Android ist mittlerweile bei Version 5.0.2
Diese Sicherheitslücke wurde bereits mit 4.4 behoben.
Mal davon abgesehen das man diese Lücke einfach damit umgehen kann wenn man anstelle des AOSP-Browsers einfach Chrome, Firefox, Opera, Naked Browser, Lightning oder irgendweinen anderen aktuellen mobilen Browser verwendet.

Was kommt als nächstes? "Sicherheitslücken in iOS 7 und Windowsphone 7 werden nicht mehr geschlossen" ?

...Netter Click-Bait
#11
customavatars/avatar97719_1.gif
Registriert seit: 29.08.2008

Korvettenkapitän
Beiträge: 2290
Zitat ELIT3;23111248

Mal davon abgesehen das man diese Lücke einfach damit umgehen kann wenn man anstelle des AOSP-Browsers einfach Chrome, Firefox, Opera, Naked Browser, Lightning oder irgendweinen anderen aktuellen mobilen Browser verwendet.


Artikel gelesen? Offenbar nicht:

Zitat
Aus der Welt geschafft wird das Problem damit jedoch nicht. Denn Applikationen greifen auch mit vorhandenem Alternativ-Browser auf die WebView-Komponente zu, Angreifer können die Lücke dementsprechend auch weiterhin ausnutzen.
#12
customavatars/avatar187427_1.gif
Registriert seit: 18.01.2013

Oberstabsgefreiter
Beiträge: 470
Zitat Morrich;23111479
Artikel gelesen? Offenbar nicht:


Doch hab ich. Aber du scheinst das Problem und meinen Kommentar nicht verstanden bzw. dich nicht damit befasst zu haben. Daher versuche ich es dir mal ganz simpel zu erklären.

Die Sicherheitslücke betrifft WebView. Das Haupteinfallstor für Schadware ist damit der Browser, konkret der AOSP Browser weil dieser WebView verwendet.
Wenn man diesen nun gegen einen anderen aktuellen Browser austauscht hat man das Hauptproblem gelöst.
Andere Anwendungen greifen aber auch auf das Internet zu und wenn die Anwendung sich nicht an die aktuellen Sicherheitsstandarts von Android hält machen das die Anwendungen über WebView.
Daher sollte der AOSP Browser wei in meinem Kommentar erwähnt logischerweise komplett ausgetauscht bestenfalls gelöscht (oder wenn nicht möglich durch Veränderungen am System durch OEMs, "eingefroren" werden). Somit stellt WebView damit kein Problem mehr da.
Greift diese sich nicht an die Sicherheitsrichlinien haltende Anwendung über einen eigenen Browser der WebView verwendet (recht seltener Fall - weil zusätzliche Entwicklung) ist sogar möglich als Standart Browser in der jeweiligen Anwendgen einfach einen anderen als den integrierten oder den AOSP Browser zu verwendet und diesen auf einen aktuellen Browser umzustellen.
Ein Konretes Beispiel zum leichteren Verständnis: Die Facebook Anwendung ist ein weit verbreitetes Beispiel einer Anwenung die über einen eigenen Browser auf WebView zugreift, dort lässt sich einfach in den Einstellungen umstellen das der Content standartmäßig über einen anderen auf dem Gerät installierten Browser geöffnet werden soll, dies kann einer der bereits genannten aktuellen Browser sein. Somit greift die Facebook Anwendung nicht mehr mit eigenen unsicheren Browser auf WebView zu, folglich - Lücke umgangen.
#13
customavatars/avatar116788_1.gif
Registriert seit: 20.07.2009

Bootsmann
Beiträge: 677
mein nächstes device wird eh kein android sein ...totaler nillenkäse das OS.
#14
Registriert seit: 30.06.2004

Oberstabsgefreiter
Beiträge: 395
Was für ein Lügenvergleich. Google hat die Details der eigenen Sicherheitslücke schließlich nach genau den gleichen Kriterien veröffentlicht, wie die anderen auch.

Das überalte Versionen bereits aus dem Support-Zeitraum raus sind, hat damit doch überhaupt gar nichts zu tun.
#15
Registriert seit: 06.07.2011
BW
Hauptgefreiter
Beiträge: 242
Zitat ELIT3;23111717
Doch hab ich. Aber du scheinst das Problem und meinen Kommentar nicht verstanden bzw. dich nicht damit befasst zu haben. Daher versuche ich es dir mal ganz simpel zu erklären.

Die Sicherheitslücke betrifft WebView. Das Haupteinfallstor für Schadware ist damit der Browser, konkret der AOSP Browser weil dieser WebView verwendet.
Wenn man diesen nun gegen einen anderen aktuellen Browser austauscht hat man das Hauptproblem gelöst.
Andere Anwendungen greifen aber auch auf das Internet zu und wenn die Anwendung sich nicht an die aktuellen Sicherheitsstandarts von Android hält machen das die Anwendungen über WebView.
Daher sollte der AOSP Browser wei in meinem Kommentar erwähnt logischerweise komplett ausgetauscht bestenfalls gelöscht (oder wenn nicht möglich durch Veränderungen am System durch OEMs, "eingefroren" werden). Somit stellt WebView damit kein Problem mehr da.
Greift diese sich nicht an die Sicherheitsrichlinien haltende Anwendung über einen eigenen Browser der WebView verwendet (recht seltener Fall - weil zusätzliche Entwicklung) ist sogar möglich als Standart Browser in der jeweiligen Anwendgen einfach einen anderen als den integrierten oder den AOSP Browser zu verwendet und diesen auf einen aktuellen Browser umzustellen.
Ein Konretes Beispiel zum leichteren Verständnis: Die Facebook Anwendung ist ein weit verbreitetes Beispiel einer Anwenung die über einen eigenen Browser auf WebView zugreift, dort lässt sich einfach in den Einstellungen umstellen das der Content standartmäßig über einen anderen auf dem Gerät installierten Browser geöffnet werden soll, dies kann einer der bereits genannten aktuellen Browser sein. Somit greift die Facebook Anwendung nicht mehr mit eigenen unsicheren Browser auf WebView zu, folglich - Lücke umgangen.


Kann ja alles sein, aber wieviele Handynutzer sind in der lage, das Problem zu erkennen und entsprechend die Einstellungen zu ändern? Der 0815 User eben nicht! Und davon ist auszugehen.
Sicherheitslücken sollten von jedem Unternehmen geschlossen werden.
Problem hier ist, das man bei Android immer von Version x.x spricht. Patches wie bei M$, Adobe oder Apple gibt es in diesem Sinne garnicht.
Es schreit keiner nach neuen funktionen für die alten Android versionen, aber nach Sicherheitsupdates schon.

Der User soll auf seine Sicherheit achten, die Firma lässt uns aber im Stich, zu aufwendig bla bla.
#16
customavatars/avatar187427_1.gif
Registriert seit: 18.01.2013

Oberstabsgefreiter
Beiträge: 470
Man stellt es für die jeweilige Anwendung ganz einfach in deren Einstellungen als Standartbrowser ein und fertig. Schwer ist das nicht.

Natürlich gibt Patches. Beispielsweise für die aktuelle Version 5 gibt es nun 5.0.1 und 5.0.2 Das ist keine neue Version und den Patch gab es für diese Lücke quasi mit 4.4.
Wenn man noch ein Telefon mit 4.3 hat dann ist das das Problem des jeweiligen OEMs und nicht von Google, den diese bieten ja bereits eine Lösung, ja sogar bereits eine neue Version!

Indirekt werden damit sogar die OEMs dazu gedrängt ihren Kunden eine aktuelle Version für ihr Telefon zur verfügung zu stellen. Oder der Kunde lernt daraus und kauft sich beim nächsten mal ein Android Gerät welches nicht extrem angepasst ist und Updates erhält.
#17
customavatars/avatar84190_1.gif
Registriert seit: 03.02.2008
Stuttgart
Bootsmann
Beiträge: 597
Ja der Autor von diesen News ist halt auch nicht mehr der Jüngste!

Google hat es sofort bereit gestellt, wie alle anderen auch. Nur die diversen Herstellen entscheiden wie weit ZURÜCK der Patch eingearbeitet wird.

Viele Hersteller sehe halt eher die Zukunft in der Zukunft ( höher als 4.3) da eigentlich alle Smartphones die 3 Jahre jung sind ein Update von 4.4 erhalten haben.
Dazu kommt halt noch, das viele einfach keine Updates Installieren wollen, weil das System stabil läuft oder angst haben das es was verändert!
#18
customavatars/avatar113187_1.gif
Registriert seit: 09.05.2009

Oberbootsmann
Beiträge: 991
Das Hauptproblem ist eigendlich nicht Google selber sondern die Smartphonehersteller denen Ihre Endgeräte nach 6 Monaten schon scheissegal ist und die Sicherheit Ihrer Kunden mit Füssen treten!
Wenn die auch ihre etwas betagteren Modelle, sofern technisch möglich, auf aktuelle Androidversionen heben würden, gäbe es das Problem so gar nicht. Sicher sind uralt Smarties unter z.B. 5.0 nicht lauffähig aber die absolute Mehrheit der in den letzen 2-3 Jahren hergestellten Geräte sollten das Problemlos können.

Alternativ gibts ja auch Cyanogenmod für sehr sehr viele Geräte deren Hersteller schon den Support eingestellt haben.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Meltdown- und Spectre-Patches für Windows, macOS und Linux

Logo von IMAGES/STORIES/2017/INTEL

Nachdem wir uns die Details zu den Sicherheitslücken Spectre und Meltdown nun genauer angeschaut haben, einige Benchmarks präsentieren konnten und eine Analyse mit der Beantwortung der wichtigsten Fragen gemacht haben, stellt sich vielen sicherlich die Frage, für welche Software es denn nun... [mehr]

Microsoft Windows 10 Fall Creators Update steht bereit

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Microsoft hat das fünfte größere Update für Windows 10 veröffentlicht. Das passend zur Jahreszeit Fall Creators Update getaufte Release kann seit heute Nachmittag als ISO direkt bei Microsoft heruntergeladen werden und wird ab sofort auch schrittweise auf bestehenden Windows-10-Systemen... [mehr]

Polaris oder Schalter: Microsoft arbeitet an Nachfolger für Windows 10 S

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Nicht einmal ein Jahr nach der Vorstellung von Windows 10 S droht das möglicherweise schnelle Aus. Denn seit einigen Tagen mehren sich die Meldungen, dass Microsoft an möglichen Alternativen arbeitet, die unterschiedlicher nicht sein könnten. Die eine würde aus der eigenständigen Version... [mehr]

Ohne Tamtam: Windows 10 Fall Creators Update beinhaltet Anti-Cheat-Tool

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Microsoft hat viele der Neuerungen, welche durch das Windows 10 Fall Creators Update eingeführt wurden, groß beworben. Erschienen ist die Aktualisierung in dieser Woche, um genau zu sein am 17. Oktober 2017. Wenig gesprochen haben die Redmonder überraschenderweise über TruePlay. Dabei... [mehr]

Leak: 32 TB an Windows-10-Sourcecode veröffentlicht

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Für Unternehmen wie Microsoft ist der Sourcecode der eigenen Software das wichtigste Gut – Grundstein des wichtigsten Produktes und damit essentieller Bestandteil der Entwicklung, den man keinesfalls in den Händen der Konkurrenz sehen möchte. Doch offenbar ist nun genau das passiert, denn... [mehr]

Windows 10: Spring Creators Update kommt als Version 1803

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Microsoft wird für Windows bald ein neues Update veröffentlichen. Das Update mit dem Codenamen Redstone 4 wird von Microsoft inzwischen auch als Versionsnummer 1803 geführt und soll einige Verbesserungen mitbringen. Das sogenannte Spring Creators Update soll nach derzeitigen Planungen im April... [mehr]