Werbung
In den vergangenen Wochen betätigte sich Google gleich mehrfach als Mahner. Zunächst veröffentlichte man Details zu einem Sicherheitsproblem in Windows 8.1, nur wenige Tage später lenkte man das Interesse auf Apples OS X 10.9.5. In beiden Fällen hatte Google die Mitbewerber frühzeitig über die gefundenen Lücken informiert, sich aber dazu entschlossen, 90 Tage später damit an die Öffentlichkeit zu gehen.
Vor allem von Microsoft hagelte es dafür Kritik, denn zum Zeitpunkt der Bloßstellung durch Google war ein entsprechender Bugfix bereits fertiggestellt und sollte nur einen Tag später verteilt werden. „Was richtig ist für Google, ist nicht immer richtig für die Kunden. Wir bitten Google dringend, den Schutz der Kunden zu unserem gemeinsamen primären Ziel zu machen.“, so das Sicherheitsteam im Technet-Blog. Dass es Google aber womöglich gar nicht um den Schutz von Windows- und OS-X-Nutzern, sondern lediglich um Effekthascherei geht, zeigt der aktuelle Umgang mit einem Problem in Android. Denn die in der vergangenen Woche bekannt gewordene Sicherheitslücke in der WebView-Komponente der WebKit-HTML-Rendering-Engine bis einschließlich Android 4.3, die vom Android-Browser genutzt wird, wird laut Entwickler Adrian Ludwig nicht geschlossen.
Die Begründung: Der Aufwand sei aufgrund des umfangreichen Codes zu hoch. Betroffene sollen stattdessen auf die Browser Chrome und Firefox ausweichen. Aus der Welt geschafft wird das Problem damit jedoch nicht. Denn Applikationen greifen auch mit vorhandenem Alternativ-Browser auf die WebView-Komponente zu, Angreifer können die Lücke dementsprechend auch weiterhin ausnutzen. Und die Zahl der potentiellen Ziele ist hoch. Denn Android 4.3 und ältere Versionen kommen noch auf mehr als 600 Millionen Geräten zum Einsatz, bei denen in vielen Fällen klar ist, dass vom Hersteller kein Update auf eine jüngere Fassung des Betriebssystems erscheinen wird. Hier hilft laut Google nur ein Umdenken der Drittentwickler. Diese, so Ludwig, sollen ihre Apps einfach mit einem eigenen Renderer versehen, um auf die WebView-Komponenten nicht zugreifen zu müssen.
Eben diese Entwickler gehen mit Google und Ludwig in den Kommentaren zu seinem Beitrag jedoch hart ins Gericht. Die Rede ist unter anderem davon, dass es nicht die Aufgabe eines App-Entwicklers sei, Sicherheitslücken in einem Betriebssystem zu schliessen. Auch heißt es, dass ein eigener Renderer für die Meisten aufgrund der dafür notwendigen Ressourcen keine Alternative sei. Kritik richtet sich aber auch an Googles Distributionspolitik. Das Unternehmen hätte es versäumt, die Verteilung von derart wichtigen Update umzustellen. Statt diese selbst an die Nutzer auszuliefern, nehme man immer noch die Gerätehersteller sowie die jeweiligen Provider in die Pflicht, die meist jedoch keinerlei Interesse an Updates haben. In den Augen mehrerer Kommentatoren spielt aber auch der lediglich 18-monatige Support einer Android-Version eine Rolle.
Warum Google am Ende an andere höhere Ansprüche als an sich selbst stellt, beantwortete das Unternehmen bislang nicht.