Für Google und sein Android OS bahnt sich ein ordentlicher Shitstorm an: Wie ein Sicherheitsexperte herausgefunden hat, lässt eine Komponente zum Anzeigen von Web-Inhalten unter Android-Versionen, die älter sind als als 4.4 KitKat potenzielle Angriffe durch Hacker zu. Google ist informiert — unternimmt mit Verweis auf das Alter der OS-Versionen aber nichts; obwohl noch rund 940 Millionen Geräte weltweit mit Android 4.0 oder kleiner laufen. Ein gefundenes Fressen für alle Kritiker der Fragmentierung von Googles mobilem Betriebssystem und ein Schlag ins Gesicht der Nutzer vor allem älterer Geräte. Vor allem aber ein Teil Googles neuer, knallharter Politik, die Hersteller zur besseren Softwarepflege ihrer Produkte zu zwingen. Es stellt sich die Frage, ob die Sicherheitslücke tatsächlich Googles Problem ist.
WebView ist eine Komponente des Android OS, die das Rendern und Darstellen von HTML-Seiten in Browsern und Apps ermöglicht — und somit ein viel genutzter aber auch sicherheitsrelevanter Teil des mobilen Betriebssystems. Grundsätzlich pflegt und aktualisiert Google diese essenzielle Schnittstelle zwischen dem Netz und den Endgeräten auch vorbildlich und hält sich sicher und sauber. Allerdings nur noch in deren neuester Version, die wiederum erst ab Android 4.4 KitKat zum Einsatz kommt und somit nicht auf Smartphones und Tablets mit Android 4.3 Jelly Bean oder noch kleiner installiert ist. Das sind weltweit fast eine Milliarde Geräte, die also mit einer veralteten WebView-Komponente laufen.
So weit, so schade. Dramatisch wird es nun aber durch ein Statement Googles zu einem nicht weiter benannten Sicherheitsleck in der alten WebView-Version, das unter anderem dem IT-Sicherheitsunternehmen rapid7 nach der Meldung der Lücke zugesandt wurde — darin heißt es lapidar: "If the affected version [of WebView] is before 4.4, we generally do not develop the patches ourselves, but welcome patches with the report for consideration. Other than notifying OEMs, we will not be able to take action on any report that is affecting versions before 4.4 that are not accompanied with a patch."
Zu deutsch: "Solange es sich um eine WebView-Version auf Geräten mit Android 4.3 oder kleiner handelt, entwickeln wir den Patch in der Regel nicht selbst, nehmen aber gerne fertige Patches, die uns mit der Meldung erreichen, an. Mehr als die Gerätehersteller zu informieren, werden wir anhand von Meldungen, die uns ohne Patch erreichen, nicht unternehmen." Und das wiederum klingt auf "gut deutsch" zunächst schwer nach "Interessiert uns einen feuchten Kehricht!"
Ist Android also doch die berüchtigte "Höllensuppe"?
Also geht gerade ein #Aufschrei durchs Netz: Google kümmert sich nicht mehr um Geräte mit einer nur 14 Monate alten OS-Version, gibt die Verantwortung ab, fordert gar dreist das Einreichen von Patches durch Dritte, schiebt den Schwarzen Peter den Herstellern zu und lässt, allen voran und am allerschlimmsten, 939 Millionen Nutzer seines OS schutzlos im Regen stehen. Es wird Microsoft und dessen langjähriger Support von Windows XP als positives Gegenbeispiel herangezogen und sogar Tim Cooks groteske Aussage von der "toxischen Verwundbarkeits-Suppe aus der Hölle", die Android sei, ganz reißerisch von Publikationen bemüht, die Googles OS sonst eigentlich positiv gegenüber stehen.
Keine Frage, für den Android-Nutzer, dessen Gerät noch mit Android 4.3 Jelly Bean oder einer noch älteren Version des OS läuft, ist der Vorgang nicht nur ärgerlich, sondern potenziell sogar gefährlich. Denn wenn es bei Googles Weigerung, sich aktueller wie zukünftiger Bedrohungen durch einzelne Komponenten in älteren Android-Versionen anzunehmen, bleibt, dann werden sich alle bösen Buben dieses Planeten natürlich auf diese stürzen und damit für ein riesiges Gefahrenpotenzial sorgen. Google wird aber nicht zwingend dabei bleiben und schon gar nicht wird der Konzern Android kleiner als KitKat fortan links liegen lassen. Bei der radikalen Aussage aus Mountain View dürfte es sich vielmehr um eine zugegeben trotzig klingende, aber durchaus konsequente Maßnahme gegenüber den Herstellern und Providern handeln.
In einem anderen Artikel zum Thema Fragmentierung hatte ich bereits erklärt, dass Google in den vergangenen Monaten sehr viel dafür getan hat, den Auswirkungen der OS-Fragmentierung entgegenzuwirken — zum einen, in dem gewisse Komponenten von Android unabhängig von Firmware-Updates über die Play Services aktualisiert werden, zum anderen, in dem die OEMs noch mehr in die Pflicht genommen werden, die von ihnen vertriebenen Geräte Software-seitig aktuell zu halten. Die genannte alte WebView-Komponente kann offensichtlich nicht per Play Services auf den neuesten Stand gebracht werden (diese Möglichkeit kam erst in der späteren Version), also sind die Hersteller in der Pflicht. Nämlich die betroffenen Geräte mit einem OS-Update auf Version 4.4 zu versorgen.
Die Hersteller sind tendenziell weniger an Produktpflege als am Abverkauf neuer Modelle interessiert.
Denn was soll Google an dieser Stelle denn tun? Wenn die WebView-Komponente nicht ferngesteuert ersetzt werden kann und es gleichzeitig Gründe (vielleicht sogar sicherheitsrelevante) gab, ab Android 4.4 nicht weiter auf diese zu setzen, wie sollen die alten Geräte dann aktualisiert werden? Per Patch? Das wäre wohl maximal möglich, wenn es sich ganz sicher nur um ein, zwei Lücken oder Probleme handeln würde. In dem konkreten Fall geht es aber nicht um ein spezielles Bugfixing, sondern um eine generelle Wartung der Komponente. Wie aber sollen dieser und zukünftige Patches ausrollen? Das müsste über die Hersteller geschehen — klar, Google könnte im Idealfall Patches bereit stellen ... und dann zusehen, wie diese bei den OEMs hängen bleiben, weil die mit dem Rollout und ihren jeweiligen Anpassungen nicht hinterherkommen respektive keinen Wert darauf legen. Denn während Google Android als Marke verkauft und entsprechend optimiert, sind die Hersteller tendenziell weniger an Produktpflege als am Abverkauf neuer Modelle interessiert.
Zugegeben, das etwas über drei Jahre alte Galaxy Nexus wurde von Google auch nicht mehr mit Android 4.4 bedacht und ist damit genauso wie das knapp über 4 Jahre alte Nexus S von dieser Absage an das alte WebView betroffen. Aber wir leben in schnellen mobilen Zeiten, zwei Jahre sind eine lange Zeit, in der sich technisch unglaublich viel getan hat. Das angeführte Windows XP hingegen stammt aus einer ganz anderen Ära und wurde von MS vor allem auch deswegen so lange gepflegt, weil zahlreiche Unternehmen und Administrationen darauf gesetzt haben. Selbst Tod Beardsley von rapid7 gibt in diesem Zusammenhang und bezogen auf Android zu: "Den Support für ein Software-Produkt, das zwei Versionen hinterherhinkt, aufrecht zu erhalten, wäre sowohl für proprietäre als auch Open Source-Software eher ungewöhnlich." Dabei ist Android wenigstens Open Source und kann also notfalls von der Community gepatcht werden — anders als Windows beispielsweise.
Diese Überlegungen im Hinterkopf bin ich dennoch recht guter Dinge, dass Google sich der Problematik dieses konkreten Falles dennoch annehmen wird, auch wegen der großen Öffentlichkeit, die sie nun erhält. Damit wäre das eigentlich Dilemma, das alte Software in sich trägt, aber natürlich immer noch nicht beseitigt. Die Lösung heißt: OS-Updates für möglichst viele Geräte!
Man mag Googles Verhalten in dieser Sache durchaus als trotzig bezeichnen, vielleicht gar als fahrlässig. Auf lange Sicht aber ist es der richtige Schritt in die Zukunft des Android OS. Denn WebView ist bestimmt nicht der einzige Teil älterer OS-Versionen, der sicherheitskritische Probleme aufweist; es werden immer wieder neue Lücken an allen möglichen Stellen auftauchen, die eben nicht alle gestopft werden können. Über kurz oder lang muss Mountain View durchsetzen, dass die Gerätehersteller mehr Verantwortung dafür übernehmen, die von ihnen verkauften Geräte aktuell zu halten.
