Neue Android-Lücke

Google lässt eine Milliarde User im Regen stehen

(Bild: Google, thinkstockphotos.de)

Fast eine Milliarde Nutzer älterer Android-Geräte sind in Gefahr - und Google tut nichts, um ihnen zu helfen. Das berichtet ein IT-Sicherheitsexperte, der eine Lücke in Android 4.3 und älteren Versionen des Google-Betriebssystems entdeckt hat. Sie erlaubt Hackern, die Smartphones ihrer Opfer zu übernehmen. Wer jetzt denkt, Google würde das Problem beheben, der irrt: Die betroffene Software - Android 4.3 erschien im Juli 2013 - sei demnach zu alt, um sie noch zu unterstützen.

Nachdem Tod Beardsley vom IT-Sicherheitsunternehmen Rapid7 die Sicherheitslücke in einem Bestandteil des bis Version 4.3 genutzten Android-Standardbrowsers, der Apps das Anzeigen von Websites ohne das Öffnen des Browsers erlaubt, entdeckt hatte, informierte er Google über die Schwachstelle.

Google verweigert Patch für alte Android-Versionen
Googles Antwort überraschte Beardsley, wurde ihm doch mitgeteilt, dass der Internetgigant keine Patches für Android-Versionen entwickelt, die vor den aktuellen Versionen 4.4 und 5.0 erschienen sind. Google erklärte, die Hersteller von Android-Geräten könnten sich um die Updates kümmern und man werde diese über die Sicherheitslücke informieren, selbst aber keinen Patch bereitstellen.

Dieses Vorgehen überraschte Beardsley nicht nur, weil Android 4.3 erst im Juli 2013 erschienen war, also nur anderthalb Jahre alt ist. Sondern vor allem, weil weltweit Hunderte Millionen Menschen von der Sicherheitslücke betroffen sind.

Rund eine Milliarde Nutzer betroffen
Wie "Engadget" berichtet, seien Android 4.3 und seine Vorgängerversionen immer noch auf rund 60 Prozent aller Android-Geräte installiert. In absolute Zahlen umgerechnet, haben demnach weltweit fast eine Milliarde Menschen ein Smartphone oder Tablet, das von der Sicherheitslücke betroffen ist.

Was sollten betroffene Nutzer nun also tun? Schleunigst updaten, falls eine Aktualisierung auf Android 4.4 für ihr Gerät verfügbar ist. Wer – und das ist gerade bei älteren oder günstigeren Geräten häufig der Fall – kein Update durchführen kann, hat es deutlich schwerer. Er kann manuell eine neuere Android-Version installieren, was für Einsteiger kaum zu bewerkstelligen ist, oder darauf hoffen, dass sein Gerätehersteller selbst für ein Update sorgt.

Abhilfe soll laut "Heise" auch der Verzicht auf den bei Android 4.3 oder älteren Versionen vorinstallierten Standardbrowser schaffen. Das IT-Portal empfiehlt die Verwendung einer Alternative wie Chrome oder Firefox. Ein Verzicht auf Apps, welche die angesprochene Funktion zur Anzeige von Websites außerhalb des Browsers nutzen, ist wiederum kaum möglich, da die Funktion von so gut wie allen Apps verwendet wird, und sei es nur, um Werbung zu zeigen. Wirklichen Schutz böte nur ein Update der Browser-Komponente in den betroffenen Android-Versionen.

Streiterei zwischen Google und Microsoft
Pikant: Der Bericht, dass Google Nutzer von Android 4.3 oder älter im Regen stehen lässt, kommt kurz nachdem Google seinerseits eine Sicherheitslücke in Windows 8.1 veröffentlicht hatte, ohne Microsoft ausreichend Zeit zu geben, einen Patch bereitzustellen.

Google veröffentlicht Sicherheitsprobleme üblicherweise 90 Tage nach ihrer Entdeckung und der Meldung an das betroffene Unternehmen. Microsoft soll vor Veröffentlichung um zwei Tage Aufschub gebeten haben, um die Lücke zu schließen. Google veröffentlichte die Sicherheitslücke laut "WinFuture" offenbar trotzdem an Tag 90 nach ihrer Entdeckung und ließ Microsoft so ziemlich alt aussehen.

Die Android-Sicherheitslücke spielt nun wiederum Microsoft in die Hände. Der Redmonder Software-Gigant stopft Sicherheitslücken für sein fünf Jahre altes Betriebssystem Windows 7 noch bis 2020. Die Entwicklung neuer Features und Verbesserungen für Windows 7 hat Microsoft zwar diese Woche eingestellt, generell scheint der Windows-Hersteller seinen Kunden aber deutlich länger beizustehen als Google.