Diesmal trifft es Google: Sicherheitsexperten fanden gravierende Lücken in der WebView-Komponente älterer Android-Versionen (4.3 abwärts). Google ist das Problem bekannt, kann oder will daran aber nichts ändern. So zumindest überschlugen sich die Meldungen der letzten zwölf Stunden im Netz. Was steckt wirklich hinter dem Sachverhalt?
Android 4.3 wird noch auf fast 1 Milliarde Devices genutzt
Auf fast einer Milliarde Mobile Devices läuft das etwas in die Tage gekommene Android 4.3 oder niedriger mit der Android 4.3 Sicherheitslücke. Und das, nicht unbedingt weil die Nutzer keine Updates aufspielen, sondern weil ältere Modelle meist aufgrund interner Hardware-Begrenzungen und anderen Vorgaben (Prozessortyp) nicht mehr Update-fähig sind. Oder: es handelte sich um ein besonders preiswertes Gerät. Dann stellt der Hersteller eventuell auch aus Kostengründen kein Update zur Verfügung, obwohl technisch möglich. Trotzdem kann man mit diesen Geräten noch wunderbar arbeiten, spielen und telefonieren, meist noch nicht mal mit großartigen Einschränkungen. Genau diese Geräte sollen jetzt alle von einer massiven Sicherheitslücke der WebView-Komponente betroffen sein. Diese stellt die Schnittstelle zwischen Netz und Device dar und ist eine potenzielle Schwachstelle für Hackerangriffe.
Wer steht in der Verantwortung? Google vs. Hardwarehersteller
Auf Anfrage weißt Google darauf hin, dass Patches für Android 4.3 oder kleiner nicht mehr entwickelt werden, extern-entwickelte Patches aber gern entgegen genommen werden würden. Denn: Die WebView-Komponente lässt sich nur über ein OS-Update auf 4.4 erreichen. Diese kann bei diesen älteren Modellen nicht über ein Google Play Store Update vorgenommen werden. Das geht erst ab Android Version 4.4. Und da es sich bei der Reparatur der veralteten WebView-Komponente nicht um ein paar kleine Bugfixes handelt, sondern diese komplett ausgetauscht werden müsste, sind Google hier zum Teil die Hände gebunden. Hier wären jetzt die Hardware-Hersteller gefragt, diesem durch rechtzeitig OEM- Updates entgegenzuwirken. Deren Hauptaugenmerk liegt bei diesen aber aktuell auf dem Verkauf neuer Modelle und nicht primär im Support älterer (bereits) verkaufter Devices. Google hingegen verkauft seine Marke Android. Und so entsteht ein Interessenkonflikt, der aktuell auf dem Rücken der Nutzer ausgetragen wird.
Rollout-Verzögerungen: Googles Weckruf für die Hersteller
Wir gehen davon aus, dass Google sich dennoch dieses akuten Problems annehmen wird und die Nutzer nicht im Regen stehen lässt. Dennoch ist es ein klarer Weckruf für die Hardware-Hersteller, in Zukunft auch größten Wert auf zeitnahe OS-Updates zu legen. Es dürfte den Google-Mitarbeitern recht sauer aufstoßen, dass Monate nach dem Android Lollipop Release noch immer namhafte Hersteller mit dem Rollout hinterherhinken.