Google begründet Einstellung des WebView-Supports für Android 4.3 oder älter mit Pflegeaufwand
Im September 2014 wurde bekannt, dass die WebView-Komponente in den Android-Versionen 4.3 (Jelly Bean) oder älter Sicherheitslücken enthält. Im Januar dieses Jahres folgte dann die Ankündigung, dass man WebView für ältere Versionen nicht mehr pflegen wird. Der Grund hierfür liegt darin, dass mit Android 4.4 WebView neu gestaltet wurde und der „alte“ WebView-Code zu aufwändig zu pflegen wäre. Google war schnell als Schuldiger ausgemacht, der die Nutzer einer Gefahr aussetzt, allerdings hat Google in einem Punkt nicht ganz unrecht.
Denn selbst wenn Google WebView für Android 4.3 oder älter noch updaten würde, kämen diese Updates wohl nie bei den Nutzern an. Dafür sind nämlich immer noch die Hersteller verantwortlich. Um von etwaigen Lücken betroffen zu sein, wäre es außerdem nötig, einen entsprechenden Browser oder eine App zu verwenden, die die alte WebView-Version nutzt. Googles Chrome-Browser für Android oder Firefox setzen nicht auf die anfällige und nicht mehr unterstützte WebView-Variante. Chrome ist dabei ab Android 4.0 kompatibel, Firefox sogar runter bis Android 2.3. Bei Apps, die WebView nutzen, liegt es an den Entwicklern, auf die neue Version zu setzen.
Ab Android 4.4 kann es übrigens nicht mehr zu solchen Problemen kommen. Die WebView-Komponente ist vom System abgekoppelt und kann direkt von Google mit einem Update versehen werden, unabhängig vom Hersteller. Die Updates erfolgen über den Google Play Store. Google selbst setzt seit 2012 auf Chrome für Android, zahlreiche andere Hersteller liefern den Browser ebenfalls mit aus (müssen sie, wenn sie Android nutzen wollen und nicht einen eigenen Fork einsetzen).
Etwas ausführlicher wird die ganze Geschichte von Adrian Ludwig bei Google+ erklärt. Die Essenz ist allerdings auch hier, dass Nutzer nicht viel davon hätten, wenn Google noch Patches ausliefert, da sie die Hersteller nicht verteilen würden. Das ist zwar eine durchaus nachvollziehbare, dennoch recht komische Argumentation. Ist wie ein Heilmittel gegen eine Krankheit finden, es aber nicht an Ärzte liefern, weil die es eh nicht spritzen würden. (via Reddit)
„Ab Android 4.4 kann es übrigens nicht mehr zu solchen Problemen kommen. Die WebView-Komponente ist vom System abgekoppelt und kann direkt von Google mit einem Update versehen werden,“
Falsch. Das ist ab 5.0 so.
Gute Recherche! Aber krasse missinformation im netz
In Android 4.4 wurde Androids WebView Komponente durch die von Chromium ersetzt, sind aber wie @stanzillaz gesagt hat noch mit einem kompletten OS Release gekoppelt.
Meiner Meinung nach existiert ein Patch für die Sicherheitslücke, nennt sich Android 5.0
Diese Analogie von Ärzten und Smartphone-Herstellern… ohgodwhy.jpg
„Das ist zwar eine durchaus nachvollziehbare, dennoch recht komische Argumentation.“ Was ist an dieser Argumentation komisch? Der Patch wäre nur relevant für Handys mit Android <4.3 und für die ist entweder 5.0 in Vorbereitung oder es kommt gar kein Patch mehr. Von daher recht nachvollziehbare Argumentation und nicht im geringsten 'komisch'.
Ich frage mich ja, warum man die Hersteller nicht zwingen kann, das Problem zu beheben. Der Fehler ist nachweislich schon mit Auslieferung des Produkts vorhanden. Damit hat man zumindest während der Garantie-Zeit – also innerhalb von 2 Jahren – die Möglichkeit, den Hersteller in Anspruch zu nehmen. Ist dieser nicht in der Lage, den nachweislich schon zur Auslieferung bestehenden Fehler zu korrigieren, kann man doch vom Kaufvertrag zurücktreten.
Solange die Handy-Hersteller nicht kapieren, dass das Betriebssystem von der Hardware entkoppelter sein sollte (bei PCs geht das ja auch), so lange werden wir das Problem haben. Und wenn man jetzt auf Basis der Garantie die Hersteller zwingt, sich endlich zu bewegen, dann funktioniert das sicher schneller.
Ich kann zumindest gut damit leben, nach 2 Jahren vom Kaufvertrag zurückzutreten und mir dann einfach ein neues Handy zu holen.
Da fänd ich eine gesetzliche Regelung seitens der EU angebracht:
Wenn eine Sicherheitslücke besteht, ist diese umgehend zu schließen. Falls dies nicht innerhalb eines zumutbaren Zeitraums geschieht, wird ein EU-weites Verkaufsverbot für ALLE Modelle des Herstellers verhängt. Sobald er seiner Pflicht nachgekommen ist, wird das Verbot wieder aufhoben.
Mal schauen, wie wichtig unsere Sicherheit den Herstellern dann sein würde. 🙂
Finde ich nicht gut, dass meine Kommentare hier geblockt werden.
Inzwischen sind ja sämtliche Apps im Android „Googleisiert“ aber gottseidank auch fast alles deaktivierbar für Googlehasser 😉
Oh Sascha. Nicht alles, was hinkt …
Der Vergleich hinkt. Denn Auslöser der Krankheit ist Google und Google versorgt die Ärzte auch mit Medikamenten.
Aber da man in der Vergangenheit jeden Buschmedizinmann mit guter Medizin versorgt hat ohne zu kontrollieren tut man jetzt so als wüsste man von nichts.
Die ganze Strategie von Android ging zwar für viel Marktanteil auf, aber jetzt kommen die Probleme zum Vorschein. Und solange <4.3 Geräte in den Läden stehen ist das einfach nur armselig wie das alles läuft.
Und Open Source… Das lassen die mittlerweile auch schleifen da kommt nur noch dürftiger Code raus und der zu spät.
Wenn Microsoft mit Windows genauso umgegangen wäre, wie Google mit Android, dann würden heute noch ein Großteil der Computer mit Windows 98 und Windows XP laufen, weil die Hersteller nicht hinterher kämen, die Windows Versionen von Microsoft an ihre Hardware anzupassen. Da sieht man mal wie bescheuert Android konstruiert wurde. Hätte Google sich mal ansatzweise an Windows orientiert und ein Basisbetriebssystem erschaffen, für deren Treiber die Hersteller allein verantwortlich sind, dann hätte heute jedes Smartphone Android 5.0.1 sobald verfügbar durch Google.
@Patrick Steinke
Dachte ich mir auch, wäre doch super wenn es so wäre. So kann man aber schnell die Schuld auf andere schieben. Aber macht es MS mit dem WP denn besser, nein nicht wirklich. Hieß es zu zuerst alle WP8 bekommen 8.1, Huawei und HTC und andere haben da aber nicht mitgemacht. Nun das gleiche Spiele mit WP10, nicht alle 8.1 bekommen WP10. So komisch es klingt, bisher ist nur Apple hier der Sieger. Wenn die nur in einer Preisklasse wäre das die sich ein Normalbürger kaufen könnte 🙂
Aber Android ist soweit gut, solange man sich ein Tablet oder Phone von Google kauft oder eins wo es eine alternative ROM Version gibt, so hat mein HOX laut Hersteller nur 4.2.2 aber dank AICP läuft nun 5.02 drauf. Von daher ist es egal was der Hersteller treibt, solange es eine alternative zu dem Original gibt.
@Thomas
es gibt doch einen Patch dafür nennt sich Android 4.4, das läuft auf allen 4.3 Geräten, wenn der Hersteller natürlich keinen Bock hat an den Kunden das weiterzugeben beschwert man sich beim Hersteller und nicht Google.
@Patrick Steinke
ich glaube du hast da was missverstanden, der Hardwarehersteller muss die Software (Treiber) anpassen das sie mit Android läuft, das ist bei Windows nicht anders.
Google kümmert sich nicht um die Treiber von 3. Herstellern genau so wenig wie Microsoft.
Android läuft auf „jeder“ Hardware wenn der Hersteller sich erbarmt Treiber dafür zu erstellen.
@Dirk: Apple hat es durch die beschränkte Kompatibilität auch deutlich einfacher. Da es proprietär nur auf Apple-Geräten läuft kann man sogar diskutieren ob man es nicht eher als Feature-Phone-OS bezeichnet. Gerate die hohe Kompatibilität ist ein wichtiges Merkmal eines Smartphone-OS.
PS: Bei Apple muss man sogar für den Web-Browser-Update ein neues OS einspielen.
Schaue mal wie sauber Google bei Nexus-Geräten arbeitet, weil die Hardware-Partner dort mitspielen.
Doe Lösung wäre recht einfach, wenn Google den Mut hätte, sie unzusetzen: Man verpflichtet die Hersteller vertraglich, alle Updates auszuliefern. Ansonsten gibt es für neue Geräte keine Lizenz mehr. Die einzige andere Möglkchkeit wäre, das ganze System so umzugestalten, dass die Anapssungen eines Herstellers automatisch adaptiert werden können und Google liefert dann Update-Pakete die auf allem Handys laufen.