> > > > Google schließt eigene Sicherheitslücke nach Kritik an Microsoft und Apple nicht

Google schließt eigene Sicherheitslücke nach Kritik an Microsoft und Apple nicht

Veröffentlicht am: von

google 2013In den vergangenen Wochen betätigte sich Google gleich mehrfach als Mahner. Zunächst veröffentlichte man Details zu einem Sicherheitsproblem in Windows 8.1, nur wenige Tage später lenkte man das Interesse auf Apples OS X 10.9.5. In beiden Fällen hatte Google die Mitbewerber frühzeitig über die gefundenen Lücken informiert, sich aber dazu entschlossen, 90 Tage später damit an die Öffentlichkeit zu gehen.

Vor allem von Microsoft hagelte es dafür Kritik, denn zum Zeitpunkt der Bloßstellung durch Google war ein entsprechender Bugfix bereits fertiggestellt und sollte nur einen Tag später verteilt werden. „Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.“, so das Sicherheitsteam im Technet-Blog. Dass es Google aber womöglich gar nicht um den Schutz von Windows- und OS-X-Nutzern, sondern lediglich um Effekthascherei geht, zeigt der aktuelle Umgang mit einem Problem in Android. Denn die in der vergangenen Woche bekannt gewordene Sicherheitslücke in der WebView-Komponente der WebKit-HTML-Rendering-Engine bis einschließlich Android 4.3, die vom Android-Browser genutzt wird, wird laut Entwickler Adrian Ludwig nicht geschlossen.

Die Begründung: Der Aufwand sei aufgrund des umfangreichen Codes zu hoch. Betroffene sollen stattdessen auf die Browser Chrome und Firefox ausweichen. Aus der Welt geschafft wird das Problem damit jedoch nicht. Denn Applikationen greifen auch mit vorhandenem Alternativ-Browser auf die WebView-Komponente zu, Angreifer können die Lücke dementsprechend auch weiterhin ausnutzen. Und die Zahl der potentiellen Ziele ist hoch. Denn Android 4.3 und ältere Versionen kommen noch auf mehr als 600 Millionen Geräten zum Einsatz, bei denen in vielen Fällen klar ist, dass vom Hersteller kein Update auf eine jüngere Fassung des Betriebssystems erscheinen wird. Hier hilft laut Google nur ein Umdenken der Drittentwickler. Diese, so Ludwig, sollen ihre Apps einfach mit einem eigenen Renderer versehen, um auf die WebView-Komponenten nicht zugreifen zu müssen.

Eben diese Entwickler gehen mit Google und Ludwig in den Kommentaren zu seinem Beitrag jedoch hart ins Gericht. Die Rede ist unter anderem davon, dass es nicht die Aufgabe eines App-Entwicklers sei, Sicherheitslücken in einem Betriebssystem zu schliessen. Auch heißt es, dass ein eigener Renderer für die Meisten aufgrund der dafür notwendigen Ressourcen keine Alternative sei. Kritik richtet sich aber auch an Googles Distributionspolitik. Das Unternehmen hätte es versäumt, die Verteilung von derart wichtigen Update umzustellen. Statt diese selbst an die Nutzer auszuliefern, nehme man immer noch die Gerätehersteller sowie die jeweiligen Provider in die Pflicht, die meist jedoch keinerlei Interesse an Updates haben. In den Augen mehrerer Kommentatoren spielt aber auch der lediglich 18-monatige Support einer Android-Version eine Rolle.

Warum Google am Ende an andere höhere Ansprüche als an sich selbst stellt, beantwortete das Unternehmen bislang nicht.

Social Links

Ihre Bewertung

Ø Bewertungen: 1

Tags

Kommentare (18)

#9
customavatars/avatar40387_1.gif
Registriert seit: 19.05.2006
3. Planet
Kapitän zur See
Beiträge: 3709
Das (neue) Nexus 7 LTE hat noch immer kein Android 5. Ganz schön schwach was Google so macht. Das finde ich bei WP8 eindeutig besser.
#10
customavatars/avatar187427_1.gif
Registriert seit: 18.01.2013

Oberstabsgefreiter
Beiträge: 468
Ernsthaft? Was ist das denn für eine News?

Android ist mittlerweile bei Version 5.0.2
Diese Sicherheitslücke wurde bereits mit 4.4 behoben.
Mal davon abgesehen das man diese Lücke einfach damit umgehen kann wenn man anstelle des AOSP-Browsers einfach Chrome, Firefox, Opera, Naked Browser, Lightning oder irgendweinen anderen aktuellen mobilen Browser verwendet.

Was kommt als nächstes? "Sicherheitslücken in iOS 7 und Windowsphone 7 werden nicht mehr geschlossen" ?

...Netter Click-Bait
#11
customavatars/avatar97719_1.gif
Registriert seit: 29.08.2008

Kapitänleutnant
Beiträge: 2016
Zitat ELIT3;23111248

Mal davon abgesehen das man diese Lücke einfach damit umgehen kann wenn man anstelle des AOSP-Browsers einfach Chrome, Firefox, Opera, Naked Browser, Lightning oder irgendweinen anderen aktuellen mobilen Browser verwendet.


Artikel gelesen? Offenbar nicht:

Zitat
Aus der Welt geschafft wird das Problem damit jedoch nicht. Denn Applikationen greifen auch mit vorhandenem Alternativ-Browser auf die WebView-Komponente zu, Angreifer können die Lücke dementsprechend auch weiterhin ausnutzen.
#12
customavatars/avatar187427_1.gif
Registriert seit: 18.01.2013

Oberstabsgefreiter
Beiträge: 468
Zitat Morrich;23111479
Artikel gelesen? Offenbar nicht:


Doch hab ich. Aber du scheinst das Problem und meinen Kommentar nicht verstanden bzw. dich nicht damit befasst zu haben. Daher versuche ich es dir mal ganz simpel zu erklären.

Die Sicherheitslücke betrifft WebView. Das Haupteinfallstor für Schadware ist damit der Browser, konkret der AOSP Browser weil dieser WebView verwendet.
Wenn man diesen nun gegen einen anderen aktuellen Browser austauscht hat man das Hauptproblem gelöst.
Andere Anwendungen greifen aber auch auf das Internet zu und wenn die Anwendung sich nicht an die aktuellen Sicherheitsstandarts von Android hält machen das die Anwendungen über WebView.
Daher sollte der AOSP Browser wei in meinem Kommentar erwähnt logischerweise komplett ausgetauscht bestenfalls gelöscht (oder wenn nicht möglich durch Veränderungen am System durch OEMs, "eingefroren" werden). Somit stellt WebView damit kein Problem mehr da.
Greift diese sich nicht an die Sicherheitsrichlinien haltende Anwendung über einen eigenen Browser der WebView verwendet (recht seltener Fall - weil zusätzliche Entwicklung) ist sogar möglich als Standart Browser in der jeweiligen Anwendgen einfach einen anderen als den integrierten oder den AOSP Browser zu verwendet und diesen auf einen aktuellen Browser umzustellen.
Ein Konretes Beispiel zum leichteren Verständnis: Die Facebook Anwendung ist ein weit verbreitetes Beispiel einer Anwenung die über einen eigenen Browser auf WebView zugreift, dort lässt sich einfach in den Einstellungen umstellen das der Content standartmäßig über einen anderen auf dem Gerät installierten Browser geöffnet werden soll, dies kann einer der bereits genannten aktuellen Browser sein. Somit greift die Facebook Anwendung nicht mehr mit eigenen unsicheren Browser auf WebView zu, folglich - Lücke umgangen.
#13
customavatars/avatar116788_1.gif
Registriert seit: 20.07.2009

Bootsmann
Beiträge: 669
mein nächstes device wird eh kein android sein ...totaler nillenkäse das OS.
#14
Registriert seit: 30.06.2004

Oberstabsgefreiter
Beiträge: 395
Was für ein Lügenvergleich. Google hat die Details der eigenen Sicherheitslücke schließlich nach genau den gleichen Kriterien veröffentlicht, wie die anderen auch.

Das überalte Versionen bereits aus dem Support-Zeitraum raus sind, hat damit doch überhaupt gar nichts zu tun.
#15
Registriert seit: 06.07.2011
BW
Hauptgefreiter
Beiträge: 242
Zitat ELIT3;23111717
Doch hab ich. Aber du scheinst das Problem und meinen Kommentar nicht verstanden bzw. dich nicht damit befasst zu haben. Daher versuche ich es dir mal ganz simpel zu erklären.

Die Sicherheitslücke betrifft WebView. Das Haupteinfallstor für Schadware ist damit der Browser, konkret der AOSP Browser weil dieser WebView verwendet.
Wenn man diesen nun gegen einen anderen aktuellen Browser austauscht hat man das Hauptproblem gelöst.
Andere Anwendungen greifen aber auch auf das Internet zu und wenn die Anwendung sich nicht an die aktuellen Sicherheitsstandarts von Android hält machen das die Anwendungen über WebView.
Daher sollte der AOSP Browser wei in meinem Kommentar erwähnt logischerweise komplett ausgetauscht bestenfalls gelöscht (oder wenn nicht möglich durch Veränderungen am System durch OEMs, "eingefroren" werden). Somit stellt WebView damit kein Problem mehr da.
Greift diese sich nicht an die Sicherheitsrichlinien haltende Anwendung über einen eigenen Browser der WebView verwendet (recht seltener Fall - weil zusätzliche Entwicklung) ist sogar möglich als Standart Browser in der jeweiligen Anwendgen einfach einen anderen als den integrierten oder den AOSP Browser zu verwendet und diesen auf einen aktuellen Browser umzustellen.
Ein Konretes Beispiel zum leichteren Verständnis: Die Facebook Anwendung ist ein weit verbreitetes Beispiel einer Anwenung die über einen eigenen Browser auf WebView zugreift, dort lässt sich einfach in den Einstellungen umstellen das der Content standartmäßig über einen anderen auf dem Gerät installierten Browser geöffnet werden soll, dies kann einer der bereits genannten aktuellen Browser sein. Somit greift die Facebook Anwendung nicht mehr mit eigenen unsicheren Browser auf WebView zu, folglich - Lücke umgangen.


Kann ja alles sein, aber wieviele Handynutzer sind in der lage, das Problem zu erkennen und entsprechend die Einstellungen zu ändern? Der 0815 User eben nicht! Und davon ist auszugehen.
Sicherheitslücken sollten von jedem Unternehmen geschlossen werden.
Problem hier ist, das man bei Android immer von Version x.x spricht. Patches wie bei M$, Adobe oder Apple gibt es in diesem Sinne garnicht.
Es schreit keiner nach neuen funktionen für die alten Android versionen, aber nach Sicherheitsupdates schon.

Der User soll auf seine Sicherheit achten, die Firma lässt uns aber im Stich, zu aufwendig bla bla.
#16
customavatars/avatar187427_1.gif
Registriert seit: 18.01.2013

Oberstabsgefreiter
Beiträge: 468
Man stellt es für die jeweilige Anwendung ganz einfach in deren Einstellungen als Standartbrowser ein und fertig. Schwer ist das nicht.

Natürlich gibt Patches. Beispielsweise für die aktuelle Version 5 gibt es nun 5.0.1 und 5.0.2 Das ist keine neue Version und den Patch gab es für diese Lücke quasi mit 4.4.
Wenn man noch ein Telefon mit 4.3 hat dann ist das das Problem des jeweiligen OEMs und nicht von Google, den diese bieten ja bereits eine Lösung, ja sogar bereits eine neue Version!

Indirekt werden damit sogar die OEMs dazu gedrängt ihren Kunden eine aktuelle Version für ihr Telefon zur verfügung zu stellen. Oder der Kunde lernt daraus und kauft sich beim nächsten mal ein Android Gerät welches nicht extrem angepasst ist und Updates erhält.
#17
customavatars/avatar84190_1.gif
Registriert seit: 03.02.2008
Stuttgart
Bootsmann
Beiträge: 597
Ja der Autor von diesen News ist halt auch nicht mehr der Jüngste!

Google hat es sofort bereit gestellt, wie alle anderen auch. Nur die diversen Herstellen entscheiden wie weit ZURÜCK der Patch eingearbeitet wird.

Viele Hersteller sehe halt eher die Zukunft in der Zukunft ( höher als 4.3) da eigentlich alle Smartphones die 3 Jahre jung sind ein Update von 4.4 erhalten haben.
Dazu kommt halt noch, das viele einfach keine Updates Installieren wollen, weil das System stabil läuft oder angst haben das es was verändert!
#18
customavatars/avatar113187_1.gif
Registriert seit: 09.05.2009

Oberbootsmann
Beiträge: 981
Das Hauptproblem ist eigendlich nicht Google selber sondern die Smartphonehersteller denen Ihre Endgeräte nach 6 Monaten schon scheissegal ist und die Sicherheit Ihrer Kunden mit Füssen treten!
Wenn die auch ihre etwas betagteren Modelle, sofern technisch möglich, auf aktuelle Androidversionen heben würden, gäbe es das Problem so gar nicht. Sicher sind uralt Smarties unter z.B. 5.0 nicht lauffähig aber die absolute Mehrheit der in den letzen 2-3 Jahren hergestellten Geräte sollten das Problemlos können.

Alternativ gibts ja auch Cyanogenmod für sehr sehr viele Geräte deren Hersteller schon den Support eingestellt haben.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Windows 10 1703 Creators Update: Ein Überblick

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Mit dem Creators Update bringt Microsoft das vierte große Feature-Update im Windows-10-Zyklus kostenlos unter die Leute. Wie der Name bereits suggeriert, hat das Redmonder Unternehmen bei diesem Update die kreativen Nutzer im Fokus. Doch neben einer aktualisierten Paint-App, welche nun auch 3D... [mehr]

ISO-Dateien des Windows 10 Creators Update stehen bereit

Logo von IMAGES/STORIES/2017/MICROSOFT

Nach einer versehentlichen Veröffentlichung in der vergangenen Woche hat Microsoft die finalen ISO-Dateien des Creators Update für Windows 10 online gestellt. Diese können ab sofort bei Microsoft heruntergeladen werden. Damit kann jeder interessierte Nutzer das dritte große Update ab sofort... [mehr]

Windows 10 integriert Werbung nun auch in den Explorer

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Microsoft Windows 10 beliefert seine Nutzer leider an einigen Stellen mit Werbung. Etwa weist Microsoft nur allzu gerne im Startmenü auf Apps aus dem Windows Store hin, welche sich der Nutzer doch einmal herunterladen bzw. kaufen könnte. Mittlerweile integrieren die Redmonder Werbung jetzt... [mehr]

Fall Creators Update: Windows 10 rückt im Herbst näher an macOS

Logo von IMAGES/STORIES/2017/MICROSOFT_2

Kam der gestrige erste Tag der Microsoft Entwickler-Konferenz Build noch ohne Highlights aus, sah dies heute anders aus. Denn im Mittelpunkt stand das nächste große Update für Windows 10. Das hört auf den Namen Fall Creators Update und wird zahlreiche Änderungen am Betriebssystem vornehmen.... [mehr]

Windows 10 soll einen speziellen Game-Modus erhalten

Logo von IMAGES/STORIES/LOGOS-2015/WINDOWS_10_LOGO

Windows 10 soll bald einen speziellen Gaming-Modus erhalten. Damit will Microsoft das Betriebssystem offenbar noch stärker in den Herzen der Spieler verankern. Wie genau der Game-Modus arbeiten soll, ist noch etwas vage. Offenbar sollen nach dem Starten eines Spiels die Systemressourcen bevorzugt... [mehr]

Windows 10 Creators Update ab 5. April über Update-Assistenten installierbar

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Das Windows Creators Update wird am 11. April offiziell für alle Nutzer von Windows 10 ausgerollt. Wer so lange nicht warten möchte, kann die Aktualisierung aber auch schon ab dem 5. April, also ab nächstem Mittwoch, auf seinen Rechner schaufeln. Dafür ist dann lediglich das Anstoßen der... [mehr]