Sicherheitslücke im Standard Browser von Android bis 4.3

[wydan]

Da es hier im Forum wohl die meisten betrifft,
zwei Beiträge über die Sicherheitslücke im Standard Browser von Android ,von allem Browsern unter 4.3.
Empfohlen wird einen anderen Browser zu verwenden.

Ich bin sehr überrascht/verwundert über Google, das sie nicht und sehr langsam darauf reagieren, vor allem, weil sie in den letzten Wochen Microsoft und Apple ans Bein gepinkelt haben, mit Veröffentlichung von Lücken in ihrem System und auch moniert haben, das da nicht reagiert wird.

http://www.golem.de/news/browsersicherheit-google-spielt-webview-sicherheitsluecke-herunter-1501-111930.html

http://www.heise.de/newsticker/meldung/Sicherheitsluecke-in-Millionen-Android-Geraeten-Google-empfiehlt-Chrome-oder-Firefox-als-Abhilfe-2528130.html

 

[Ora]

Hatte ich neulich auch schon im BR gehört... Nutze aber schon geraume Zeit nicht mehr den Standardbrowser... Irgenwie verstehe ich aber auch, dass das Patchen für die nicht so einfach und Aufwand bringt... zumal es ja ein alternatives Produkt gibt.

 

[wydan]

. Irgenwie verstehe ich aber auch, dass das Patchen für die nicht so einfach und Aufwand bringt... zumal es ja ein alternatives Produkt gibt.

sorry kann ich nicht nachvollziehen, ist änlich wie mit dem IE, das ist der meist benutzte browser, weil "voreingestellt".

 

[Schussi]

Es geht aber bei dieser Lücke nicht nur um den Standardbrowser sondern um die Webview-Komponente des Betriebssystems. Diese wird unter anderem im Android-Standardbrowser, aber auch vielen Apps von Dritt-Anbietern verwendet...

 

[Ora]

@wydan: Ein Patch ist da nicht so einfach, da die zu patchenden Komponenten im System vergraben sind und das wäre ja dann nur über einen Firmware Upgrade des Handys möglich... Oder?

 

[Schussi]

@Ora , so sieht es wohl aus und ich finde Google macht es sich vielleicht ein wenig zu einfach und verspielt auch Vertrauen in das OS in meinen Augen. Nicht Jeder hat das nötige Kleingeld um sich ein aktuelles Phone mit passendes OS zu kaufen und vermutlich die Allermeisten haben nicht die Muße, Lust oder Möglichkeiten, sich dieses, falls vorhanden, dann als Customrom aufzuspielen. So bleibt es für diese Kunden dann, darauf zu Hoffen, das der/die Hersteller was unternehmen...

 

[Ora]

@Schussi gebe Dir Recht, aber es wäre ja dann wirklich eine "Firmware" Lawine die Folge. Ob die Hersteller da mit ziehen?

 

[wydan]

Ora
dann lässt man ca. 1 milliarde geräte ungepatcht und wer sich nicht darüber informiert ist selber schuld, wenn er sich was einfängt. frag mal deine kolegin (wenn vorhanden) ob sie das weiß und ob sie es interessiert. (nur so als beispiel)
Schussi
seh ich auch so[DOUBLEPOST=1422273780,1422273489][/DOUBLEPOST]theoretisch könnte man das über den playstore machen, wen OTA vorhanden ist und/oder die leute über den playstore informieren, aber ich vermute das dies ein sicherheitsdesaster wird/ist, wenn da noch alle apps drauf zugreifen, welcher entwickler macht da ein update draus, die wenigsten

 

[pengonator]

4.3 ist ja auch nur ein JB und damit ab 5.0 LP nun mal 2 Versionen hinter der aktuelle OS-Version. Es ist nicht unüblich bei Softwareherstellern und selbst bei freier Software den Support oder Updates dann einzustellen. Leider machen sich da viele Phone-Hersteller einen schlanken Fuß und sitzen gerne das Thema OS-Upgrade aus und das nicht nur die chinesischen Hersteller. Sogar die Brand-Hersteller sind da nicht besser. Kostet ja und da die Halbwertzeit bei Smartphone eben sehr kurz ist sitzen die Hersteller das Thema gerne aus. Zudem machen die Kunden da auch nicht den nötigen Druck durch Änderung Ihrer neuen Kaufentscheidung. Damit will ich das nicht schön reden, denn gerade Sicherheitspatche sollten ernst genommen werden.

 

[Ora]

@wydan :

1. Schritt OS System (Firmware) patchen (geht nur über Flash oder OTA)
2. Anwendungen, die diese veränderten Libraries nutzen, aktualisieren.

Ich möchte diese Lawine nicht lostreten wollen...

Mal nur so eine Frage nebenher, wie lange bleibt den ein "Brand-Handy" in der Update Wartung der Firmware....? 90% der betroffenen Handys sind da schon längst durch...

 

[Schussi]

@pengonator , das ist mir ein wenig zu einfach. Natürlich ist der jeweilige Hersteller die erste Adresse aber Andriod hat nicht so einen hohen Marktanteil durch den Verkauf der teuren Flagship's. sondern vor allem durch die vielen Budget- und Mittelklassephones. Da bleibt zu wenig hängen und damit auch weniger Kohle um ein OS anzupassen.
Bei vielen Entwicklern sieht es bestimmt nicht anders aus, geringe Einnahmen und doch wohl erhebliche Kosten, um ohne die "Webview-Komponente" auszukommen.
Da hätte man sich zusammensetzen müssen, um eine bessere Lösung für die Nutzer zu finden.

Und Schließlich zeigt ja Google auch gern auf die Lücken anderer OS-Hersteller, da täte es schon Not das man das nicht noch schlechter löst .

 

[pengonator]

Damit wollte ich auch nicht google als Hersteller aus der Pflicht nehmen @Schussi, sondern nur aufzeigen wie die Realität bei Updates ausschaut. Klar sollte man als google nicht mit Steinen oder "Schlamm" auf andere schmeißen wenn man selbst nicht besser ist.

 

[wydan]

man könnte ja ohne weiteres den standard browser über den playstore löschen/ersetzen und das dem besitzer mitteilen, wie das dann mit den apps ist kann ich nicht sagen

 

[lutzinger]

@pengonator , das ist mir ein wenig zu einfach. Natürlich ist der jeweilige Hersteller die erste Adresse aber Andriod hat nicht so einen hohen Marktanteil durch den Verkauf der teuren Flagship's. sondern vor allem durch die vielen Budget- und Mittelklassephones. Da bleibt zu wenig hängen und damit auch weniger Kohle um ein OS anzupassen.

Und das ist mir widerum zu einfach ;-)

Mittlerweile hat jeder noch so kleine Hersteller seine eigene Rotz-UI, die natürlich nie upgedatet werden.
Niemand zwingt die Hersteller ihr eigenes Süppchen zu kochen, schau dir Motorola an, sogar das Moto E hat LP und das ist wohl mehr als Budgetklasse.

Nichtsdestotrotz könnte Google den Standardbrowser natürlich durch Chrome ersetzen.

______________________________________________________

Ansonsten erinnert dass wirklich an IE Sicherheitslücken^^

Wer nutzt schon freiwillig den Standardbrowser, oder Android <4.3

MfG

 

[Schussi]

@ Lutzinger, das sehe ich eben anders. Android ist durch die Hersteller groß geworden, da man ein OS hat, mit dem man dem Markt in seiner Gesamtheit bedienen kann. Da erwarte ich ein wenig mehr Zusammenarbeit und am 19.01. hatte das Moto "E" anscheinend noch kein Update erhalten : http://www.giga.de/unternehmen/motorola/news/motorola-aktualisiert-software-suite-hinweise-auf-android-5.0-lollipop-update-apk-download/

Wie man beim LG G3 sieht scheint es wohl auch nicht so einfach zu sein. Aber das ist eine andere Story.

Es geht ja nicht darum das es eine neue OS Version gibt, sondern das die bestehende aktualisiert werden sollte, 4.3 ist noch keine zwei Jahre raus . Denk mal an Nvidia und deren schlechten Treibersupport, das kann unter Umständen die Probleme noch verschärfen.

Es reicht ja auch nicht nur den Browser zu tauschen .

 

[lutzinger]

Ok kleiner fail meinerseits, ich dachte LP fürs Moto E ist schon draußen. Wird aber kommen, im Gegensatz zu anderen Herstellern.

Naja es gibt ja schon ein Update: Android 4.4 ;-)

Ich wollte einfach nur ausdrücken, dass man die schlechte Updatepolitik der Hersteller nicht unbedingt Google anlasten kann.

 

[pengonator]

Das stimmt @lutzinger, für die schlechte Update-Politik sind auch meiner Meinung nach nur die Hersteller verantwortlich. Die Basis stellt google ja den Herstellern zur Verfügung nur machen die Hersteller aus Kostengründen nichts daraus und hier möchte ich ganz klar die chinesischen Hersteller etwas in Schutz nehmen. Die bekannten Brandhersteller sind nämlich da keinen deut besser. Man könnte auch sagen das fast alle da gleich schlecht sind. Alte Smartphones produzieren durch Updates nur Kosten ohne kurzfristig Ertrag zu produzieren. Das ist halt dann auch zum einen durch die Modellinflation zu erklären und das die Kunden das mitmachen. Eine "Kundengewerkschaft" gibt es ja nicht und Kunden vergessen schnell wenn wieder Fotos von neuen schicken Smartphone veröffentlicht werden. Damit sind wir als Kunden auch mit verantwortlich dafür das es bei den Update so ist wie es ist. Ich will nicht sagen das ich das gut finde, aber so ist es nun mal.

 

[Schussi]

Ich finde schon, das man da differenzieren muss, es hat nicht nur eine Seite allein Schuld. HTC hat z.B. zwei Geräte nicht aktualisieren können, weil Qualcomm und Nvidia Ihren Chipsätzen die Unterstützung versagten . In den letzten beiden Jahren hat sich aber schon was geändert, Sony ist da z.B. ganz gut dabei.

Es ist schwierig sich vom Mitwettbewerb zu unterscheiden, wenn man nur die Basics nutzt, ASOP +GAPPS reicht da eben nicht. HTC hat Sense, Samsung Touchwiz (Ok ) und Sony und LG auch und so weiter. Selbst O+O kocht da wohl jetzt was eigenes, denn Hardware Specs reichen bei der breiten Masse nicht. Wir hier sind nicht der Maßstab . Will damit sagen, sobald ein Teilbereich nicht funktioniert, bleibt was auf der Strecke...

Ja, und auch der Kunde ist verantwortlich. So lange man sich hauptsächlich am Preis orientiert, wird es immer wieder passieren, das da am Ende dann Geld fehlt.

 

[StardustOne]

Macht es doch wie von den Herstellern empfohlen:

1. Phone älter als ein Jahr, wegschmeissen
2. kein Update mehr zu haben, wegschmeissen

Nach einem Jahr sind Phones sowieso zerkratzt und der Bildschirm ist zersplittert, also weg damit. Und kauft euch das nächste ein Jahr Aktuell Phone.

Die Hersteller interessieren keine Software Lücken, die sind nur an Kunden interessiert, die fleissig neue Phones kaufen. Deshalb gibt es auch keine Updates for ältere Phones.

Oder ihr nutzt euer 3 Jahre altes Galaxy Nexus mit neustem Android 4.4.4, so wie ich das zur Zeit mache.

Das war sarkastisch, aber im Prinzip ist das die Methode mit der man uns seit Jahren erklärt, dass man nicht interessiert ist einmal gekaufte Produkte gross weiter zu pflegen. The Story of Stuff lässt grüssen.

http://storyofstuff.org/movies/story-of-stuff/

 

[lutzinger]

Es ist schwierig sich vom Mitwettbewerb zu unterscheiden, wenn man nur die Basics nutzt, ASOP +GAPPS reicht da eben nicht.

Stimmt dann müsste man ja eigenständige und gut designte Phones bauen

Aber du hast recht, das betrifft natürlich auch die Hardware Zulieferer.


@StardustOne also auf meine Galaxy S+ läuft LP 5.0.2 ;-)