Google hat durch sein ins Leben gerufenes Project Zero in den letzten Monaten einige schwere Sicherheitslücken in Microsoft Windows und auch eine Lücke in Apples Mac OS X System veröffentlicht. Der Nachfrage von Microsoft, die Frist von 90 Tagen bis zur Veröffentlichung zu verlängern, damit mehr Tests erfolgen können, kam Google bei den ersten zwei Fehlern nicht nach, sondern publizierte samt Code die Lecks im Internet. Mittlerweile gibt es durch das Verhalten von Google zwei gespaltene Lager, welche zum einen das konsequente Durchgreifen von Google befürworten und zum anderen Leute, die den selbst auferlegten Kreuzzug von Google als Sicherheitsrisiko sehen.
Egal welcher Fraktion man sich derzeit anschliesst, so muss Google durch sein Verhalten einiges an Kritik einstecken, was vornehmlich eine schwere Sicherheitslücke in älteren Android Versionen betrifft. Es handelt sich um die WebView-Komponente, die in fast allen Android Versionen von 4.3 an abwärts im ungebrandeten Android-Browser und allen Apps vorkommt, die die Komponente zum Anzeigen von Webinhalten nutzen.
Adrian Ludwig ist Entwickler bei Google und verantwortlich für die Sicherheit von Android. Er gab mittlerweile in einem Statement auf Google+ bekannt, dass der Aufwand zum Schliessen der Lücke einfach viel zu hoch sei. Zum einen müsse man viele Android-Versionen beliefern und zum anderen müssten auch andere Developer ihren Code anpassen, die die Komponente nutzen. Ausserdem müsse man die Schwachstelle schon im Grundsystem von Webkit suchen und das über mehrere Jahre Entwicklungszweige hinweg, was wiederum zu Problemen späterer Versionen führe.
Laut Ludwig sollen die Nutzerinnen und Nutzer von Android stets auf die aktuellste Version von Android wechseln, was sich allerdings bei den meisten Herstellern oftmals als schwierig herausstellen dürfte. Die Menschen, die nicht wechseln können und auf Android 4.3 oder tiefer verweilen müssen, sollen zudem auf den Chrome-Browser umsteigen, welcher die Sicherheitslücke nicht aufweist. Allerdings behebt diese Aussage das Problem von Apps nicht, die die WebView-Komponente als Anzeigeelement nutzen. In diesem Fall bleibt einem nur die Wahl, solche Programme generell zu meiden. Das würde dann laut einer Google eigenen Statistik mehr als 60 Prozent der aktuellen Nutzer betreffen, welche noch mit Android 4.3 und älter durch das Internet surfen.
Quelle: Adrian Ludwig @Google+