Die Verantwortungsverschiebung bei Android-Sicherheitslücken
Google rollt keine eigenen Android-Updates für die WebView-Komponente1 von Pre-KitKat-Geräten – Android 4.4, eingeführt im Oktober 2013, mehr aus.
Grundsätzlich befürworte ich das Abschneiden alter Zöpfe – sonst geht es nicht voran. Der Zeitraum hier erscheint jedoch so knapp kalkuliert, dass viele Kunden noch nicht einmal ihre zweijährige Vertragslaufzeit beim Mobilfunkprovider beendet haben, von dem sie ihr Telefon erhielten.
The next most recent release, KitKat, represents about two fifths of the Android ecosystem. This leaves the remaining 60% or so as „legacy“ and out of support for security patches from Google. In terms of solid numbers, it would appear that over 930 million Android phones are now out of official Google security patch support, given the published Gartner and WSJ numbers on smartphone distribution).
Tod Beardsley | „Google No Longer Provides Patches for WebView Jelly Bean and Prior“
Die Situation ist Googles Problem, aber nicht ihre Schuld. Klar, sie könnten auf diese einzelnen Baustellen Ressourcen werfen aber wie wahrscheinlich ist es, dass ein solcher Patch auch von den verantwortlichen Smartphoneherstellern und Mobilfunkbetreibern an ihre Kunden weitergereicht wird?
Die große (mir?) unbekannte Dunkelziffer betrifft alle Androids, die technisch in der Lage wären auf dem neusten Stand zu sein, es aber aufgrund fehlender Support-Pflicht oder eine Custom-UI-Philosophie der Hardwarebuden und Provider nicht sind. Es bleibt ein altes, aber weiterhin aktuelles Problem – die ‚Android Update Alliance‘ war so eine schöne Idee.
Garantie- und Gewährleistung auch für Software?
iPhones kennen das so nicht. Apple bemühte sich hin und wieder sogar zu leidenschaftlich alte Telefone noch auf eine neue Version ihres Betriebssystems mitzuziehen. Nicht immer gelingt der Spagat und die grundsätzlich richtige Entscheidung, Downgrades zu unterbinden (indem man alte Versionen nicht mehr signiert), wiegt für die betroffenen Geräte schwer. Aus Perspektive der Sicherheit, einer effizienten Produktpflege sowie der Nachvollziehbarkeit für Kunden sind die Vorteile aber nicht von der Hand zu weisen.
- „When asked for further clarification, the Android security team did confirm that other pre-KitKat components, such as the multi-media players, will continue to receive back-ported patches.“ – Security Street ↩