Die Verantwortungsverschiebung bei Android-Sicherheitslücken

14. Januar 2015 – 14:57 Uhr

Google rollt keine eigenen Android-Updates für die WebView-Komponente¹ von Pre-KitKat-Geräten – Android 4.4, eingeführt im Oktober 2013, mehr aus.

Grundsätzlich befürworte ich das Abschneiden alter Zöpfe – sonst geht es nicht voran. Der Zeitraum hier erscheint jedoch so knapp kalkuliert, dass viele Kunden noch nicht einmal ihre zweijährige Vertragslaufzeit beim Mobilfunkprovider beendet haben, von dem sie ihr Telefon erhielten.

The next most recent release, KitKat, represents about two fifths of the Android ecosystem. This leaves the remaining 60% or so as „legacy“ and out of support for security patches from Google. In terms of solid numbers, it would appear that over 930 million Android phones are now out of official Google security patch support, given the published Gartner and WSJ numbers on smartphone distribution).

Tod Beardsley | „Google No Longer Provides Patches for WebView Jelly Bean and Prior“

Die Situation ist Googles Problem, aber nicht ihre Schuld. Klar, sie könnten auf diese einzelnen Baustellen Ressourcen werfen aber wie wahrscheinlich ist es, dass ein solcher Patch auch von den verantwortlichen Smartphoneherstellern und Mobilfunkbetreibern an ihre Kunden weitergereicht wird?

Die große (mir?) unbekannte Dunkelziffer betrifft alle Androids, die technisch in der Lage wären auf dem neusten Stand zu sein, es aber aufgrund fehlender Support-Pflicht oder eine Custom-UI-Philosophie der Hardwarebuden und Provider nicht sind. Es bleibt ein altes, aber weiterhin aktuelles Problem – die ‚Android Update Alliance‘ war so eine schöne Idee.

Garantie- und Gewährleistung auch für Software?

iPhones kennen das so nicht. Apple bemühte sich hin und wieder sogar zu leidenschaftlich alte Telefone noch auf eine neue Version ihres Betriebssystems mitzuziehen. Nicht immer gelingt der Spagat und die grundsätzlich richtige Entscheidung, Downgrades zu unterbinden (indem man alte Versionen nicht mehr signiert), wiegt für die betroffenen Geräte schwer. Aus Perspektive der Sicherheit, einer effizienten Produktpflege sowie der Nachvollziehbarkeit für Kunden sind die Vorteile aber nicht von der Hand zu weisen.

„When asked for further clarification, the Android security team did confirm that other pre-KitKat components, such as the multi-media players, will continue to receive back-ported patches.“ – Security Street ↩

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Benutzerdefiniert
Anbieter	Memberful
Zweck	Our membership system is managed by Memberful.com. Certain cookies from memberful.com will be added to your computer if you become a member of iPhoneBlog #one.
Datenschutzerklärung	https://memberful.com/cookie-policy/
Host(s)	memberful.com
Cookie Name	Membership
Cookie Laufzeit	365

Name	Benutzerdefiniert
Anbieter	VG Wort
Zweck	Das Cookie der VG Wort hilft die Kopierwahrscheinlichkeit unserer Texte zu ermitteln und stellt die Vergütung von gesetzlichen Ansprüchen von Autoren und Verlagen sicher. IP-Adressen werden nur in anonymisierter Form verarbeitet.
Datenschutzerklärung	https://www.vgwort.de/hilfsseiten/datenschutz.html
Host(s)	*vgwort.de
Cookie Name	srp
Cookie Laufzeit	Sitzung

Akzeptieren	Vimeo
Name	Vimeo
Anbieter	Vimeo Inc., 555 West 18th Street, New York, New York 10011, USA
Zweck	Wird verwendet, um Vimeo-Inhalte zu entsperren.
Datenschutzerklärung	https://vimeo.com/privacy
Host(s)	player.vimeo.com
Cookie Name	vuid
Cookie Laufzeit	2 Jahre

Die Verantwortungs­verschiebung bei Android-Sicherheitslücken

Garantie- und Gewährleistung auch für Software?

Die Verantwortungsverschiebung bei Android-Sicherheitslücken