Android: Sicherheitslücken wegen fehlender Updates bleiben Problem

70 Prozent aller Android-Geräte weltweit besitzen eine Browser-Lücke, glaubt ein Forscher. Der simple Aufruf einer Website reicht, um sie auszunutzen.

In Pocket speichern vorlesen Druckansicht 200 Kommentare lesen
Lesezeit: 2 Min.

Joe Vennix von der Sicherheitsfirma Rapid7 glaubt, dass 70 Prozent aller Android-Geräte auf der Welt nach wie vor eine gefährliche Lücke in Googles Browser-Framework enthalten, die sich durch den simplen Aufruf einer Website ausnützen lässt, berichtet Technology Review in seiner Online-Ausgabe. Google selbst hatte den Fehler bereits im November 2012 behoben, doch die meisten Android-Geräte werden ihn wohl ewig behalten, weil sie von Käufern zwar weiter verwendet, von ihren Herstellern aber nicht mehr aktualisiert werden. Ein Test-Exploit befindet sich bereits in der Security-Software Metasploit, mit der sich auf der ganzen Welt nach Sicherheitslücken gefahndet wird.

Das Beispiel zeigt, dass Google nach wie vor große Probleme hat, Hersteller zum Anbieten von Updates zu bewegen. Zu wenige kümmern sich wirklich zuverlässig um Aktualisierungen. Und Google selbst fehlt es an einem Mechanismus, neuen Code direkt an Geräte auszuspielen, wie man es etwa von PCs mit Windows oder Macs mit OS X kennt.

Das schränkt die Möglichkeiten des Internetriesen ein, neue Funktionen und Sicherheitspatches an Nutzer von Android effizient zu verteilen. Bislang kommt der Konzern mit Versuchen, dies zu ändern, kaum voran. Im Mai 2011 kündigte Google beispielsweise die "Android Upgrade Alliance" an, mit der Mobilfunkanbieter in den ersten 18 Monaten nach Verkaufsstart eines Geräts stets schnell Android-Updates bereitstellen wollten. Doch das Projekt funktionierte nicht richtig und ist mittlerweile inaktiv.

Dirk Sigurdson, Entwicklungsleiter der von Rapid7 verkauften Sicherheitslösung Mobilesafe, meint, dass Android-Geräte, die nicht von Google selbst kommen, nicht als sicher angesehen werden sollten. "Die beste Möglichkeit ist noch, sich die hauseigene Nexus-Hardware des Konzerns oder sogenannte Google-Play-Edition-Smartphones zu besorgen, die viel schneller mit den jeweils neuesten Android-Versionen ausgestattet werden."

Mehr zum Thema in Technology Review online: