Google wird einige Sicherheitslücken in älteren Versionen seines Smartphone-Betriebssystem Android nicht mehr schliessen. Was sich Mitte des Monats durch Antworten des Android-Sicherheitsteams andeutete, hat Google-Entwickler Adrian Ludwig nun per Blogpost bekräftigt. Die Zahl der Betroffenen sinke «jeden Tag, je mehr Leute ein Upgrade vornehmen oder ein neues Gerät bekommen», schreibt Ludwig, dessen Stellungnahme von Google mittlerweile als offizielle Position des Unternehmens bestätigt wurde.
Konkret geht es um Sicherheitslücken in Androids WebView-Komponente. Das ist ein Werkzeug für die Darstellung von Web-Inhalten in Apps, es kommt auch in Googles altem Android-Browser zum Einsatz. Der Fehler betrifft die Android-eigenen WebView-Varianten in den Versionen 4.3 (Jelly Bean) und früher und erlaubt es beispielsweise Angreifern, an die Daten zu gelangen, die ein Nutzer bei anderen Webseiten gespeichert hat.
Ludwig empfiehlt betroffenen Anwendern, vom alten Android-Browser auf einen Browser umzusteigen, der direkt über den Play Store geupdatet werden kann. Konkret empfiehlt Ludwig Chrome und Firefox.
Die Lücken in anderen betroffenen Apps werden durch einen Browser-Wechsel allerdings nicht geschlossen. Sicherheitsexperten hatten Google kritisiert, weil sie nicht nachvollziehen konnten, warum das Unternehmen Millionen Android-Geräte einem erhöhten Risiko aussetzt.
Der Sicherheitsexperte Tod Beardsley hatte im Blog «Metasploit» geschrieben, dass Google kürzlich insgesamt elf WebView-Schwachstellen gemeldet worden seien. Anders als zuvor hatte das Android-Sicherheitsteam angekündigt, diese nicht mehr zu schliessen. Seine Entscheidung begründete es damit, dass Google keine Geräte von Drittanbietern mehr zertifiziert, auf denen der Android-Browser läuft.
Andere ältere Android-Komponenten wie der Multimedia-Player sollen dem Sicherheitsteam zufolge auch weiter Updates erhalten. Auch Adrian Ludwig schreibt, über das Android Open Source Project wolle man «mindestens für die letzten zwei grossen Versionen» des Betriebssystems Patches zur Verfügung stellen.
Google-Statistiken zufolge liefen im Januar auf rund 45 Prozent der Android-Geräte Jelly-Bean-Versionen. Die letzte Jelly-Bean-Version 4.3.1 hatte Google im Oktober 2013 veröffentlicht. Anders als etwa Microsoft mit seinem «Lebenszyklus für Windows» veröffentlicht das Unternehmen keine Daten dazu, wann der Support für eine bestimmte Betriebssystem-Version endet.
Android-Versionen von 4.4 an aufwärts betreffen die Sicherheitslücken nicht, da seit Version 4.4 (KitKat) eine neue WebView-Komponente zum Einsatz kommt, die auf Chromium basiert. Nutzer von Android 5.0 (Lollipop) können die WebView-Software sogar händisch über den Googles Play Store updaten.
