1. Was ist denn das Problem?
Die Sicherheitslücke steckt in der Webview-Komponente. Sie wird vom Android-Standard-Browser mit der blauen Weltkugel als Icon benutzt, um Webseiten zu „rendern“ – sie kümmert sich also darum, den HTML-Code der abgerufenen Internetseiten optisch aufzubereiten und so darzustellen, wie wir es gewöhnt sind. Aber nicht nur der Webbrowser, sondern auch andere Apps, die Internet-Inhalte darstellen, nutzen Webview.
Allerdings ist die Bezeichnung „die Sicherheitslücke“ falsch. Dem Sicherheitsexperten Tod Beardsley sind gleich elf Lücken in der Webview-Komponente von Android bis zur Version 4.3 bekannt .
2. Wie groß ist das Problem?
Aktuell ist die Sicherheitslücke mehr ein theoretisches als ein praktisches Problem. Es gibt Toolkits und Demos, die zeigen, was möglich ist. In der Praxis ist unseres Wissens nach aber bislang keine Malware aufgetaucht, die tatsächlich Android-Smartphones befällt.
Da der Aufwand, aus den Demos echte, boshafte Software zu entwicklen, relativ klein ist und die Anzahl der verwundbaren Geräte vergleichsweise hoch, schätzen wir das Problem dennoch als groß ein. Denn die Gefahr, dass demnächst echter Schadcode auftaucht, ist hoch.
Unseren Kollegen von heise security ist es bereits gelungen, verwundbare Android-Smartphones zu Wanzen umzubauen. Nur das Besuchen einer Webseite mit einem Handy mit Android bis 4.3 reicht aus, um auf Mikrofon, Webcam und Dateien zuzugreifen. Vermutlich ist auch das Installieren beliebiger Anwendungen machbar.
3. Welche Smartphones sind betroffen?
Viele. Laut Statista hatten weltweit bis Anfang Februar 2015 gerade einmal 1,6 Prozent aller Android-Smartphones und -Tablets die aktuelle Version 5.0 und 39,7 Prozent der Geräte Android 4.4 (KitKat). Die große Mehrheit – also knapp 60 Prozent – nutzte die verwundbaren, älteren Versionen. Da im letzten Jahr über eine Milliarde Android-Smartphones weltweit verkauft wurden, gibt es vermutlich hunderte Millionen Geräte mit Sicherheitslücke .
4. Warum wird die Sicherheitslücke nicht geschlossen?
Man könnte sagen: Die Sicherheitslücke ist geschlossen worden. Android 4.4 und neuer haben das Problem nicht mehr. Ein Update auf eine neue Betriebssystem-Version würde das Problem beheben – allerdings gibt es in vielen Fällen keine Updates für ältere und günstigere Geräte.
5. Warum gibt es keinen Patch für ältere Android-Versionen?
Grundsätzlich wäre es kein Problem, die Sicherheitslücken auch bei älteren Android-Versionen zu stopfen. Allerdings ist es schwierig, den Patch auf die Geräte zu spielen: Die Webview-Komponente ist elementarer Bestandteil des Android-Betriebssystems. Ein simples Update wie bei einer App ist nicht möglich. Mit Android 4.4 wurde die alte Webview-Komponente gegen eine auf Chromium basierende, neue Version ausgetauscht, die aktuell als sicher gilt und modular genug ist, um auch einzeln aktualisiert werden zu können.
6. Was sagt Google?
Google empfiehlt die Nutzung eines alternativen Browsers, der nicht auf die Webview-Komponente, sondern auf eine eigene Rendering-Engine nennt, und empfiehlt konkret die Nutzung von Chrome oder Firefox für Android .
Außerdem weist Google darauf hin, dass das Unternehmen einen Patch für AOSP (Android Open Source Project) zur Verfügung gestellt hat. Letzteres nützt halt nur nicht viel, wenn dieser Patch bei den Kunden nicht ankommt.
7. Macht die Nutzung eines alternativen Browsers das Smartphone wieder sicher?
Es macht es zumindest sicherer. Das Surfen im Netz ist vermutlich die Haupteinfallsquelle für potentielle Malware. Allerdings nutzt nicht nur der Browser Webview, die Komponente kann auch von anderen Apps verwendet werden. Die Gefahr, sich so zu infizieren, ist aktuell gering: Üblicherweise werden in solchen Apps nur bestimmte Webinhalte des App-Entwicklers geladen und angezeigt. Es besteht aber die theoretische Gefahr, dass Programmierer bestimmte Apps entwickeln, deren Hauptziel die Infektion des Gerätes ist – und könnten dafür auf Webview setzen und gezielt Webseiten abrufen, die infiziert sind.
8. Wie kann ich mich schützen?
Sicher wird das Smartphone nur mit einem Update auf Android 4.4 oder höher. Wenn der Geräte-Hersteller kein Update anbietet, gibt es häufig die Möglichkeit, auf ein alternatives ROM auszuweichen. Zu den bekanntesten sogenannten Custom-ROMs, also Alternativen zum Betriebssystem des Hardware-Herstellers, gehört CyanogenMod, das für etliche Android-Smartphones und -Tablets angeboten wird.
Für viele Smartphones gibt es auch einen Installer, der die Einrichtung von CyanogenMod vereinfachen soll.
9. Wer ist schuld?
Sicherheitslücken werden in der Regel nicht absichtlich eingebaut, sondern schlicht übersehen. Das ist blöd, aber nicht zu ändern. Google hat seine Hausaufgaben insofern gemacht, als das eine neue Betriebssystem-Version zur Verfügung steht, die die Sicherheitslücken nicht aufweist.
Allerdings hat Google nicht die hundertprozentige Kontrolle über die Android-Software, die auf den Endgeräten läuft. Eigentlich sind die Hardware-Hersteller gefragt: Sie müssen die Patches anfertigen und ausliefern. Doch gerade bei älteren Geräten wird das nicht mehr passieren.
Unterm Strich sind die Kunden die Gelackmeierten. Updates gibt es in vielen Fällen nicht – und Punkt. Sorry, aber damit machen es sich sowohl Google als auch die Hersteller zu einfach. Ich bin gespannt, ob Bewegung in die Sache kommt, wenn tatsächlich Malware im Internet auftaucht, die die Lücke im großen Stil ausnutzt.
10. Muss ich mir jetzt ein neues Smartphone kaufen?
Echten Schutz gibt es tatsächlich nur mit aktueller Software. In vielen Fällen hilft schon ein alternativer Browser, ein alternatives ROM hilft sicher. Zur Beruhigung sei noch einmal gesagt: Aktuell ist das Problem nur theoretischer Natur. Bis die Sicherheitslücke in der Praxis tatsächlich ausgenutzt wird, kann man auch ein Smartphone mit älterer Android-Version und einem alternativen Browser ohne größere Bedenken einsetzen.
Nur wer wirklich mit kritischen Daten agiert, sollte besser gleich updaten. Wenn es kein offizielles Update gibt, hilft vielleicht ein alternatives ROM. Gibt es auch das nicht (oder wenn man es nicht installieren kann oder will), führt an einem neuen Smartphone kein Weg vorbei.
Zusammenfassung
Kein Grund zur Panik. Aktuell ist das Problem überschaubar. Nutzer älterer Android-Versionen sollten möglichst auf einen anderen Browser umsteigen und die Augen offen halten. Wenn die Sicherheitslücke in der Praxis ausgenutzt wird, werden wir darüber berichten.