Wie man mit altem Android sicher surft (auch nach dem Service-Stopp für WebView)
Google stellt den Sicherheits-Support für die WebView-Komponente in Android 4.3 und älter ein. Das muss nichts Schlimmes sein, aber Ihr solltet beim Surfen folgende Tipps für Apps und Browser beachten.
Sicher im Web surfen: Nutzt die Beta-Version von WebView!
Google hat den Beta-Kanal für die WebView-Komponente eröffnet, um neue Features besonders schnell testen zu können. Diese ist derzeit leider nur für Lollipop-Nutzer verfügbar. Zu den Features zählen auch geschlossene Sicherheitslücken, weshalb es insbesondere kurzfristig ratsam ist, sich für die Vorab-Version anzumelden.
Und das geht wie folgt:
Besucht die Google+-Community des WebView Beta Channels, tretet Ihr über den Button am oberen Rand bei, meldet Euch im Play Store als Tester an und wenige Minuten später dürft Ihr den Play-Store-Eintrag aufrufen und die WebView-Engine herunterladen, die auf der jüngsten Version der Chromium Engine basiert.
Als Beta-Tester habt Ihr zwar die Vorzüge der frühsten Updates, jedoch treten hier und da Abstürze auf, sodass Ihr den Issue Tracker im Auge behalten solltet. Tritt ein Fehler auch in Eurer Version auf, markiert einfach den Stern und die Entwickler kümmern sich früher darum, dass er behoben wird.
Sicher im Web surfen: Inwiefern ist WebView unsicher?
Die WebView-Komponente ist in Android-Versionen 4.3 und älter ein Teil des Android-Kerns. Dieser dient dazu, dass Apps Websites öffnen können, ohne dass ein extra Browser-Fenster geöffnet werden muss. Diese In-App-Browser werden jedoch zum Einfallstor für Hacker, wenn sie nicht mehr mit Sicherheits-Patches versorgt werden. Daher erklären wir Euch im Folgenden, was Ihr auch mit älteren Android-Versionen tun könnt, um trotzdem sicher im Web zu browsen.
Sicher im Web surfen: Deaktiviert den Standard-Browser
Falls nicht schon geschehen, solltet Ihr den Stock-Browser von Android deaktivieren und stattdessen auf einen Browser mit einer eigenen Engine umsatteln. Hier bieten sich vorzugsweise Chrome, Chrome Beta oder Firefox an. Dolphin muss mit der Jetpack-Engine nachgerüstet werden. Sie alle werden über den Play Store regelmäßig und schnell mit Funktions-, Bugfix- und insbesondere mit Sicherheits-Updates versorgt.
- Diese Standard-Apps von Android könnt Ihr ohne Probleme deaktivieren
Sicher im Web surfen: Deaktiviert In-App-Browser
Damit allein ist es noch nicht getan. Damit wirklich keine App mehr die unsichere WebView-Komponente von Android nutzt, müsst Ihr ihr sagen, dass sie Links in einem externen Browser öffnen soll. Dies haben wir Euch schon einmal anhand von Facebook erläutert.
- Facebook: So deaktiviert Ihr den In-App-Browser
Analog gelten diese Regeln natürlich für etliche Feed-Reader oder News-Apps. Diese solltet Ihr zeitnah auf die Möglichkeit hin untersuchen, ob sie Links in externen Browsern öffnen können, damit sich nicht Scams wiederholen, bei denen etwa Werbebanner einfach Apps auf Eurem Smartphone installieren.
Sicher im Web surfen: Was ist mit Android 4.4 und neuer?
Da seit Android 4.4 KitKat die WebView-Komponente unabhängig vom Android-Kern über den Play Store aktualisiert wird, erhalten diese Versionen noch länger Sicherheits-Support. Hier müssen User nichts unternehmen, um weiterhin sicher zu browsen.
Via: Telerik Quelle: Android Developers Blog
> Google stellt den Sicherheits-Support für die WebView-Komponente in Android 4.3 und älter ein. Das muss nichts Schlimmes sein, aber Ihr solltet beim Surfen folgende Tipps für Apps und Browser beachten.
Das ist nicht schlimm, das ist katastrophal! 11 Sicherheitslücken! Über mindestens eine lassen unbemerkt Apps installieren.
Der Ratschlag, auf Chrome oder Firefox auszuweichen, greift zu kurz, weil viele Apps ebenfalls die Webview Komponente nutzen. Dies ist für die große Anwendermasse nicht erkennbar.
Yupp, siehe http://heise.de/-2549172 ("Android-Exploit schleust beliebige Apps ein"). Kann eine Website eine vom Anwender unerwünschte App installieren? Klar doch! Sämtliche Kekse klauen? Sicher (Krümel wäre jetzt entsetzt!). Beliebige Befehle auf dem Gerät ausführen? Auch das...
Aber realistisch betrachtet: Sind wir nicht etwas vorschnell damit, Google den "Schwarzen Peter" zuzustecken? Ich bin bekanntermaßen nicht unbedingt jemand, der Google verteidigt. Aber hier wären eher die Geräte-Hersteller in der Pflicht. Ich hau mal wieder in die "alte Kerbe": Entweder liefert man ständig die aktuellen Updates – oder man löst zumindest die (Bootloader-) Sperre, damit der Geräte-Nutzer sich selbige via Custom-ROM draufbügeln kann (wie hat Eric das weiter oben so schön getippst: "Schade, dass sich Bootloader nicht nach Software-EOL von alleine entsperren."). Vielleicht sollte Google das als "Pflicht" mit in die MADA-Klauseln aufnehmen.
Das Sperren des Bootloaders ist meiner Meinung nach gut und wichtig für alle Hersteller während der Garantie.
Danach sollte es mir als Verbraucher jedoch ohne weiteres möglich sein diese Blockade zu entfernen!
Zum Thema Updates vom Update zum Update...
Hier schiebt einer dem anderen den schwarzen Peter zu. Die User wollen ständig neue Geräte mit neuen Features... Diese Nachfrage wird gestillt durch halbjährliche Modellwechsel. Da bleibt kaum Zeit noch Qualitativ hochwertige und fehlerfreie Betriebssysteme/Software wofür der Hersteller ja auch wieder geradestehen darf (Garantie)...
Thema in die Autozene übertragen:
Ganz ehrlich wieviele 60er VW Käfer mit Porscheboxermotor habt ihr gesehen?! oder gibt es noch?! tut das denn Not?
Ich habe mit meinem Kommentar weder Google den schwarzen Peter zugeschoben, noch die Hersteller aus der Verantwortung genommen!
Ich habe mich einzig und allein auf den zitierten Satz bezogen. Denn der lässt den normalen Anwender glauben, alles sei gar nicht so schlimm. "Ich nutze ja sowieso Chrome..." Dabei weiß er gar nicht, dass er im Prinzip viele Apps auf seinen Geräten hat, die nichts weiter sind als kastrierte Webbrowser für einen einzigen Internetauftritt und die genau die betroffene Web Engine einsetzen.
An dieser Stelle muss ich wiederholen, was ich im Forum schon mehrfach geschrieben habe: Es gibt vielleicht für alles eine App, aber man braucht nicht für alles eine App. Es tut auch oft der Browser.
Dennoch nehme ich sehr wohl Google bei der Lösung in die Pflicht. Sie fordern von den Herstellern bestimmte Dinge, um zertifiziert zu werden. Sie fordern aber nur Dinge, die Google zugute kommen. Sie fordern nichts bezüglich der Anwender-Sicherheit. Sonst gäbe es mehr Updates auch für die unteren Preisklassen.
Und Google muss sich noch etwas gefallen lassen: Das Herunterspielen der tatsächlichen Situation durch halbscharige Empfehlungen.
Ich bezog mich mit dem "Schwarzen Peter" auch nicht auf Dich, Aries – das ist leider der generelle Tenor. Und das mit "Eine App für Nix" (sprich: jeder Web-Auftritt meint, seine eigene App zu brauchen), kann ich nur unterschreiben (+1 daher ;)
Und ja, auch ich fordere an dieser Stelle von Google – die Hersteller entsprechend in die Pflicht zu nehmen. An der gleichen Stelle, wo sie auch für sich selber fordern ("alle 40 Google-Apps müssen auf dem Startbildschirm an erster Stelle stehen", etwas übertrieben ausgedrückt): In der MADA.
Ich bin noch mit Android 2.3.6 unterwegs, da brauche ich mir keine Sorgen um solche Lücken zu machen, da bei mir sicher noch mehrere Lücken offen sind als die WebView Lücke :P
"Damit wirklich keine App mehr die unsichere WebView-Komponente von Android nutzt, müsst Ihr ihr sagen, dass sie Links in einem externen Browser öffnen soll. Dies haben wir Euch schon einmal anhand von Facebook erläutert."
Laut dem verlinkten Artikel muss die App also selbst in ihren Einstellungen die Möglichkeit bieten, das "umzustellen". Das impliziert für mich Dreierlei:
1. Ich muss alle Apps einzeln händisch abklappern
2. Beim Installieren einer neuen App daran denken, das zu prüfen
3. Bietet eine App keine passende Option, habe ich ein "Sicherheits-Loch"
Könnt Ihr natürlich nix dafür :) Aber habe ich das so richtig interpretiert? Oder habe ich etwas übersehen? Gibt es nicht zumindest für gerootete Geräte eine "zentrale Möglichkeit" – etwa mit einem Xposed-Modul?
Abklappern ist leider das notwendige Übel, korrekt.
Also auch mit root keine Alternative (Xposed oder so)? Sonst ist u.U. ja schnell mal eine App übersehen...
Das ist mir leider nicht bekannt. Aber wenn sich da etwas findet, können wir das gerne hier ergänzen.
Ich habe bislang leider auch nichts finden können: Kein passendes Xposed Modul, keinen Patch zum Entfernen der Webview Komponente, o.ä. Da bliebe für "Altgeräte" als nennenswerte Alternative lediglich die Suche nach einem Custom ROM mit Android 4.4+ – wofür Dank zahlreicher offizieller und inoffizieller CyanogenMod-Ports die Chancen relativ gut stehen.
Schade, dass sich Bootloader nicht nach Software-EOL von alleine entsperren.
Dafür hätte ich Dir gern ein +10 gegeben! Wenn's nach mir ginge, müssten Hersteller ein Gerät so lange mit *aktueller* Firmware versorgen, bis sie den Bootloader (z.B. mit einem letzten "Update") entsperren. Und mit "aktuell" meine ich nicht, dass sie 2015 ein Update auf Android 4.2.1 liefern – sondern die jeweils aktuelle Version spätestens 6 Monate nach deren Erscheinen.
... sry, falsch gepostet!! bitte einfach direkt zum nächstes kommentar springen und dieses nicht beachten xD
sry, für die dumme frage, aber woran erkenne ich, ob es sich bei dem dargestellten inhalt einer app um webview handelt oder nicht??
Das ist eine ziemlich schlaue Frage. Als User kann man das nämlich nur schwer feststellen. Laut Chrome Developer https://developer.chrome.com/multidevice/user-agent muss der Useragent des alten (unsicheren) Webviews "Mozilla/5.0 (Linux; U; Android 4.1.1; en-gb; Build/KLP) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Safari/534.30" lauten. Rufe einfach eine Website wie http://whatsmyuseragent.com/ auf und schau nach. Wenn Deiner neuer ist, ist alles safe. :D
Hallo, Eric,
Android kommt bei mir überhaupt nicht vor; was schließe ich daraus?
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.154 Safari/537.6
Sitzt du an einem Windows-7-Rechner?
vedammt, so wie's aussieht hab ich wohl doch die unsichere version :(
denn abgesehn von meiner android-version steht da bei mir so ziemlich das gleiche:
Mozilla/5.0 (Linux; U; Android 4.3; de-de; GT-I9300 Build/JSS15J) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30
übrigens danke für die schnelle antwort!!
hm interessant, wenn ich die gleiche seite mit chrome öffne, anstatt mit dem stock-browser, dann bekomme ich folgendes angezeigt:
Mozilla/5.0 (Linux; Android 4.3; GT-I9300 Build/JSS15J) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.93 Mobile Safari/537.36
inwiefern kann ich da jetzt rückschlüsse auf meine sicherheit im bezug auf webview in div. apps ziehen, denn immerhin bekomme ich mit dem stock-browser was anderes angezeigt als mit chrome?! ò.Õ