Google stellt die Bereitstellung von Updates für Android Jelly Bean und frühere Versionen für die Webview-Komponente ein

900+ Millionen Nutzer im Stich gelassen, da Google erklärt, dass es die Bereitstellung von Sicherheitspatches für die Webview-Komponente in Android 4.3 Jellybean und früheren Versionen eingestellt hat

Traurig, aber wahr. Wenn Sie einer derjenigen sind, die das Betriebssystem Android 4.3 und frühere Versionen auf Ihrem Smartphone verwenden und darauf warten, dass Google die Android Same Origin Policy (SOP) Sicherheitsanfälligkeit patcht, nun, das werden Sie von Google nicht erhalten.

Der Android Legacy SOP-Fehler, der von Rafay Baloch, einem pakistanischen Sicherheitsforscher, entdeckt wurde, betrifft die Webview-Komponente des standardmäßigen Android-Browsers, der mit etwa 930.000 Smartphones ausgeliefert wird, die auf Android 4.3 Jelly Bean und früheren Versionen laufen.

Die Sicherheitsanfälligkeit in der WebView-Komponente tritt auf, wenn das ‘data’-Attribut eines bestimmten HTML-Objekts mit einem JavaScript-URL-Schema ersetzt wird. Ein potenzieller Hacker könnte die UXSS-Sicherheitsanfälligkeit ausnutzen, um Cookie-Daten und Seiteninhalte aus einem anfälligen Browserfenster zu extrahieren.

Das Sicherheitsloch kann in allen Versionen des Android Open Source Platform (AOSP) Browsers ausgenutzt werden, der auch als Android-Standard- oder Standardbrowser bekannt ist. Die Sicherheitsanfälligkeit existiert nur in Android OS 4.3 Jellybean und früher.

Rapid7’s Joe Vennix und Rafay haben zusammengearbeitet, um einen Metasploit-Code für diese Sicherheitsanfälligkeit zu erstellen, damit Google und andere Smartphone-Hersteller den Fehler beheben können.

Allerdings kam kein Patch. In der Zwischenzeit entdeckten die Trend Micro Labs, dass der Metasploit-Code in der Wildnis ausgenutzt wurde, um Facebook-Konten von Nutzern zu übernehmen, die Smartphones mit Android 4.3 Jellybean und früheren Versionen hatten.

Jetzt hat Rapid7 Google kontaktiert, um diese kritische Sicherheitsanfälligkeit zu patchen, und sie erhielten eine schockierende Antwort von Google. Google hat die Bereitstellung von Sicherheitspatches für Android 4.3 Jelly Bean und frühere Versionen eingestellt. Dies war die Antwort, die ein Sicherheitsforscher von Metasploit von Google erhielt.

„Wenn die betroffene Version [von WebView] vor 4.4 liegt, entwickeln wir in der Regel die Patches nicht selbst, sondern begrüßen Patches mit dem Bericht zur Prüfung. Abgesehen von der Benachrichtigung der OEMs werden wir keine Maßnahmen zu einem Bericht ergreifen können, der Versionen vor 4.4 betrifft, die nicht mit einem Patch versehen sind.“

Der überraschte Sicherheitsforscher, Tod Beardsley aus der Rapid7 Metasploit-Community, berichtete in einem Blogbeitrag.

„Also wird Google keine Patches mehr für 4.3 bereitstellen. Das sind einige aufsehenerregende Nachrichten.“ fügte er hinzu, „Ich habe noch nie ein Sicherheitsanfälligkeitsreaktionsprogramm gesehen, das davon abhängt, dass der Berichterstatter seinen eigenen Patch bereitstellt, doch das scheint Googles Position zu sein. Diese Änderung in der Sicherheitsrichtlinie schien so bizarr zu sein, dass ich nicht glauben konnte, dass es tatsächlich die offizielle Google-Politik war.“

Um seinen Schock zu bestätigen, folgte Tod dem Google-Sicherheitsteam selbst und erhielt die ähnliche Antwort vom Google-Sicherheitsteam.

Wenn die betroffene Version [von WebView] vor 4.4 liegt, entwickeln wir in der Regel die Patches nicht selbst, benachrichtigen jedoch Partner über das Problem[…] Wenn Patches mit dem Bericht bereitgestellt oder in AOSP eingefügt werden, geben wir sie gerne auch an Partner weiter.

Es scheint, dass Google die Unterstützung nur für die Webview-Komponente älterer Android-Versionen eingestellt hat, denn als Tod weiter nachfragte, wurde ihm gesagt, dass „das Android-Sicherheitsteam bestätigte, dass andere Komponenten vor KitKat, wie die Multimedia-Player, weiterhin Backport-Patches erhalten werden.“

Das Problem ist, dass bis jetzt nur die Webview-Komponente früherer Android-Versionen als anfällig angesehen wird und, wie von Trend Micro Labs bewiesen, in der Wildnis ausgenutzt wird. Diese Komponente sollte in allen Versionen so schnell wie möglich gepatcht werden, damit Android-Smartphone-Nutzer nicht aufgrund der SOP-Sicherheitsanfälligkeit ausgenutzt werden.

Das bedeutet auch, dass möglicherweise 930 Millionen Smartphones da draußen darauf warten, von potenziellen Hackern und Cyberkriminellen ausgenutzt zu werden. Laut den neuesten Verteilungszahlen von Google für Android laufen 46 Prozent der Android-Geräte auf Jelly Bean, gefolgt von KitKat mit 39,1 Prozent. Die verbleibenden Android-Nutzer verwenden Gingerbread (Versionen 2.3.3-2.3.7, verwendet von 7,8 Prozent der Handys), Ice Cream Sandwich (Versionen 4.0.3 bis 4.0.4, verwendet von 6,7 Prozent) und das alte Froyo (Version 2.2, 0,4 Prozent).

Tod Beardsley erklärte, dass dies die „bizarrste“ Entscheidung von Google sei.

Die Smartphone-Hersteller, die diese Smartphones in den vergangenen Jahren vermarktet haben, sind nicht mehr daran interessiert, Patches/Unterstützung für diese Builds bereitzustellen. Wer also Patches für diese kritische Sicherheitsanfälligkeit bereitstellen und Millionen von Android-Smartphone-Nutzern, die Android 4.3 und früher auf ihren Handys haben, schützen wird, ist jedermanns Vermutung.