![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\")
Google pisst ja dem Mitbewerb in Punkto Sicherheitsl\u00fccken gerne mal vor die F\u00fc\u00dfe. Nur im eigenen Hinterhof, da mag man nicht aufr\u00e4umen. Hintergr\u00fcnde zum Thema, der Sicherheitsl\u00fccke in Android 4.3 und mehr hier.<\/p>\nGoogle pisst ja dem Mitbewerb in Punkto Sicherheitsl\u00fccken gerne mal vor die F\u00fc\u00dfe. Nur im eigenen Hinterhof, da mag man nicht aufr\u00e4umen. Hintergr\u00fcnde zum Thema, der Sicherheitsl\u00fccke in Android 4.3 und mehr hier.<\/p>\n
<\/p>\n
Und nun kommt der n\u00e4chste Klopper: In Androids Webview klafft eine kritische Sicherheitsl\u00fccke, die k\u00fcrzlich aufgedeckt wurde. Webview ist die Rendering-Engine in den Browsern, mit der Webseiten dargestellt werden k\u00f6nnen. Wie hier ausgef\u00fchrt wird betrifft die L\u00fccke \"nur\" Android 4.3 und \u00e4ltere Versionen. In Android 4.4.x (Kitkat) ist die L\u00fccke geschlossen. Nachdem Google ja nun Microsoft sicherheitstechnisch die Hosen runtergezogen hat, w\u00e4re ja naiverweise zu erwarten, dass es gleich einen Patch f\u00fcr die \u00e4lteren Android-Versionen gibt. Ist aber nicht, wie hier ausgef\u00fchrt wird.<\/p>\n If the affected version [of WebView] is before 4.4, we generally do not develop the patches ourselves, but welcome patches with the report for consideration. Other than notifying OEMs, we will not be able to take action on any report that is affecting versions before 4.4 that are not accompanied with a patch.<\/em><\/p><\/blockquote>\n Mit anderen Worten: Es gibt keine Patches f\u00fcr das Problem bis Android 4.3 f\u00fcr Webkit. Tja, und geht man den verlinkten Artikel durch, gibt es f\u00fcr andere Android-Komponenten wie den Musik-Player auch f\u00fcr \u00e4ltere Versionen Patches. Auch hatte ich k\u00fcrzlich den Artikel Android 2.3 Gingerbread: lebt weiter, Update von Google<\/a> im Blog, der beleuchtet, dass Google Apps selbst f\u00fcr das uralte Android 2.3 \u00fcber Play Services Update f\u00fcr seine Apps ausrollt.<\/p>\n Geht man in Googles eigenes Zahlenwerk<\/a> (siehe auch Android-Verteilung im Januar 2015<\/a>), stellt man fest, dass um die 60% der Android-Ger\u00e4te mit den angreifbaren Versionen unterwegs sind. Und viele Ger\u00e4te sind erst k\u00fcrzlich ausgeliefert worden (Jellybean wurde vor 3 Jahren vorgestellt, nun gibt es keinen Support mehr). Man spricht von fast einer Milliarde Ger\u00e4te, die von Google ungepatcht bleiben. So viel zum Thema: Auf Android kannst Du bauen \u2013 und mit iOS w\u00e4re das nicht passiert. Sch\u00e4tze unter diesem Aspekt ist Android k\u00fcnftig als \"no go\" Area einzustufen. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":" Google pisst ja dem Mitbewerb in Punkto Sicherheitsl\u00fccken gerne mal vor die F\u00fc\u00dfe. Nur im eigenen Hinterhof, da mag man nicht aufr\u00e4umen. Hintergr\u00fcnde zum Thema, der Sicherheitsl\u00fccke in Android 4.3 und mehr hier.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4308,405,1782],"class_list":["post-159952","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-android","tag-google","tag-sicherheitslucke"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/159952","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=159952"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/159952\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=159952"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=159952"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=159952"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Tja, manche Spr\u00fcnge geraten recht kurz. Vor wenigen Stunden hatte ich noch den Artikel Google-Microsoft Knatsch wegen Sicherheitsl\u00fccke<\/a> publiziert. Google hat Microsoft so richtig vorgef\u00fchrt, indem man bereits am 31.12.2014 auf eine fette Sicherheitsl\u00fccke in Windows 8.1 hinwies (siehe Artikel Google Mitarbeiter publiziert neue Windows-Sicherheitsl\u00fccke<\/a>). Und vorgestern hat man nochmal nachgelegt und gleich einen Exploit, mit dem sich die L\u00fccke ausnutzen l\u00e4sst, mit ver\u00f6ffentlicht. Und das, obwohl Microsoft die L\u00fccke in wenigen Stunden schlie\u00dfen will. Der Bitte Microsofts, die Ver\u00f6ffentlichung um diese Karrenzzeit bis zum Patchday zur\u00fcckzuhalten, hat Google nicht entsprochen \u2013 man wollte Microsoft eins auswischen.<\/p>\n
\n![\"_Android1_2015\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Android1_2015_thumb.jpg\" "\\"_Android1_2015\\"")
<\/a>(Source: Android Developers<\/a>)<\/p>\n