Topthemen

Wie man mit altem Android sicher surft (auch nach dem Service-Stopp für WebView)

dolphin browser oppo n1 teaser
© nextpit

Google stellt den Sicherheits-Support für die WebView-Komponente in Android 4.3 und älter ein. Das muss nichts Schlimmes sein, aber Ihr solltet beim Surfen folgende Tipps für Apps und Browser beachten.

dolphin browser oppo n1 teaser
Mit der Jetpack-Engine wird der Dolphin Browser auf alten Android-Geräten sicher. / © ANDROIDPIT

Sicher im Web surfen: Nutzt die Beta-Version von WebView!

Google hat den Beta-Kanal für die WebView-Komponente eröffnet, um neue Features besonders schnell testen zu können. Diese ist derzeit leider nur für Lollipop-Nutzer verfügbar. Zu den Features zählen auch geschlossene Sicherheitslücken, weshalb es insbesondere kurzfristig ratsam ist, sich für die Vorab-Version anzumelden.

Und das geht wie folgt:

Besucht die Google+-Community des WebView Beta Channels, tretet Ihr über den Button am oberen Rand bei, meldet Euch im Play Store als Tester an und wenige Minuten später dürft Ihr den Play-Store-Eintrag aufrufen und die WebView-Engine herunterladen, die auf der jüngsten Version der Chromium Engine basiert.

Als Beta-Tester habt Ihr zwar die Vorzüge der frühsten Updates, jedoch treten hier und da Abstürze auf, sodass Ihr den Issue Tracker im Auge behalten solltet. Tritt ein Fehler auch in Eurer Version auf, markiert einfach den Stern und die Entwickler kümmern sich früher darum, dass er behoben wird.

Sicher im Web surfen: Inwiefern ist WebView unsicher?

Die WebView-Komponente ist in Android-Versionen 4.3 und älter ein Teil des Android-Kerns. Dieser dient dazu, dass Apps Websites öffnen können, ohne dass ein extra Browser-Fenster geöffnet werden muss. Diese In-App-Browser werden jedoch zum Einfallstor für Hacker, wenn sie nicht mehr mit Sicherheits-Patches versorgt werden. Daher erklären wir Euch im Folgenden, was Ihr auch mit älteren Android-Versionen tun könnt, um trotzdem sicher im Web zu browsen.

Sicher im Web surfen: Deaktiviert den Standard-Browser

Falls nicht schon geschehen, solltet Ihr den Stock-Browser von Android deaktivieren und stattdessen auf einen Browser mit einer eigenen Engine umsatteln. Hier bieten sich vorzugsweise Chrome, Chrome Beta oder Firefox an. Dolphin muss mit der Jetpack-Engine nachgerüstet werden. Sie alle werden über den Play Store regelmäßig und schnell mit Funktions-, Bugfix- und insbesondere mit Sicherheits-Updates versorgt.

  • Diese Standard-Apps von Android könnt Ihr ohne Probleme deaktivieren

Sicher im Web surfen: Deaktiviert In-App-Browser

Damit allein ist es noch nicht getan. Damit wirklich keine App mehr die unsichere WebView-Komponente von Android nutzt, müsst Ihr ihr sagen, dass sie Links in einem externen Browser öffnen soll. Dies haben wir Euch schon einmal anhand von Facebook erläutert.

  • Facebook: So deaktiviert Ihr den In-App-Browser

Analog gelten diese Regeln natürlich für etliche Feed-Reader oder News-Apps. Diese solltet Ihr zeitnah auf die Möglichkeit hin untersuchen, ob sie Links in externen Browsern öffnen können, damit sich nicht Scams wiederholen, bei denen etwa Werbebanner einfach Apps auf Eurem Smartphone installieren.

Sicher im Web surfen: Was ist mit Android 4.4 und neuer?

Da seit Android 4.4 KitKat die WebView-Komponente unabhängig vom Android-Kern über den Play Store aktualisiert wird, erhalten diese Versionen noch länger Sicherheits-Support. Hier müssen User nichts unternehmen, um weiterhin sicher zu browsen.

Die besten Smartphones bis 500 Euro

  Redaktionsempfehlung Beste Alternative Bestes Kamera-Smartphone Bester Software-Support Bestes Preis-Leistungs-Verhältnis Beste Performance
Produkt
Abbildung Xiaomi Redmi Note 13 Pro+ 5G Product Image Nothing Phone (1) Product Image Google Pixel 7 Product Image Samsung Galaxy A54 Product Image Motorola Edge 40 Neo Product Image Xiaomi Poco F5 Pro Product Image
Bewertung
Bewertung: Xiaomi Redmi Note 13 Pro+ 5G
Bewertung: Nothing Phone (1)
Bewertung: Google Pixel 7
Bewertung: Samsung Galaxy A54
Bewertung: Motorola Edge 40 Neo
Bewertung: Xiaomi Poco F5 Pro
Zum Angebot*
Zu den Kommentaren (43)
Eric Ferrari-Herrmann

Eric Ferrari-Herrmann
Senior Editor

Eric ist seit 2014 bei AndroidPIT. Seine alte Tech-Leidenschaft wird allmählich unterwandert von der Liebe zu mehr Nachhaltigkeit, Privatsphäre und dem Wunsch nach einer Zukunft für alle.

Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
43 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • 50
    Gelöschter Account 16.02.2015 Link zum Kommentar

    > Google stellt den Sicherheits-Support für die WebView-Komponente in Android 4.3 und älter ein. Das muss nichts Schlimmes sein, aber Ihr solltet beim Surfen folgende Tipps für Apps und Browser beachten.

    Das ist nicht schlimm, das ist katastrophal! 11 Sicherheitslücken! Über mindestens eine lassen unbemerkt Apps installieren.

    Der Ratschlag, auf Chrome oder Firefox auszuweichen, greift zu kurz, weil viele Apps ebenfalls die Webview Komponente nutzen. Dies ist für die große Anwendermasse nicht erkennbar.


    • Izzy 56
      Izzy 16.02.2015 Link zum Kommentar

      Yupp, siehe http://heise.de/-2549172 ("Android-Exploit schleust beliebige Apps ein"). Kann eine Website eine vom Anwender unerwünschte App installieren? Klar doch! Sämtliche Kekse klauen? Sicher (Krümel wäre jetzt entsetzt!). Beliebige Befehle auf dem Gerät ausführen? Auch das...

      Aber realistisch betrachtet: Sind wir nicht etwas vorschnell damit, Google den "Schwarzen Peter" zuzustecken? Ich bin bekanntermaßen nicht unbedingt jemand, der Google verteidigt. Aber hier wären eher die Geräte-Hersteller in der Pflicht. Ich hau mal wieder in die "alte Kerbe": Entweder liefert man ständig die aktuellen Updates – oder man löst zumindest die (Bootloader-) Sperre, damit der Geräte-Nutzer sich selbige via Custom-ROM draufbügeln kann (wie hat Eric das weiter oben so schön getippst: "Schade, dass sich Bootloader nicht nach Software-EOL von alleine entsperren."). Vielleicht sollte Google das als "Pflicht" mit in die MADA-Klauseln aufnehmen.

      DiDaDo


      • 10
        Daniel Christof 16.02.2015 Link zum Kommentar

        Das Sperren des Bootloaders ist meiner Meinung nach gut und wichtig für alle Hersteller während der Garantie.
        Danach sollte es mir als Verbraucher jedoch ohne weiteres möglich sein diese Blockade zu entfernen!

        Zum Thema Updates vom Update zum Update...

        Hier schiebt einer dem anderen den schwarzen Peter zu. Die User wollen ständig neue Geräte mit neuen Features... Diese Nachfrage wird gestillt durch halbjährliche Modellwechsel. Da bleibt kaum Zeit noch Qualitativ hochwertige und fehlerfreie Betriebssysteme/Software wofür der Hersteller ja auch wieder geradestehen darf (Garantie)...

        Thema in die Autozene übertragen:

        Ganz ehrlich wieviele 60er VW Käfer mit Porscheboxermotor habt ihr gesehen?! oder gibt es noch?! tut das denn Not?


      • 50
        Gelöschter Account 16.02.2015 Link zum Kommentar

        Ich habe mit meinem Kommentar weder Google den schwarzen Peter zugeschoben, noch die Hersteller aus der Verantwortung genommen!

        Ich habe mich einzig und allein auf den zitierten Satz bezogen. Denn der lässt den normalen Anwender glauben, alles sei gar nicht so schlimm. "Ich nutze ja sowieso Chrome..." Dabei weiß er gar nicht, dass er im Prinzip viele Apps auf seinen Geräten hat, die nichts weiter sind als kastrierte Webbrowser für einen einzigen Internetauftritt und die genau die betroffene Web Engine einsetzen.

        An dieser Stelle muss ich wiederholen, was ich im Forum schon mehrfach geschrieben habe: Es gibt vielleicht für alles eine App, aber man braucht nicht für alles eine App. Es tut auch oft der Browser.

        Dennoch nehme ich sehr wohl Google bei der Lösung in die Pflicht. Sie fordern von den Herstellern bestimmte Dinge, um zertifiziert zu werden. Sie fordern aber nur Dinge, die Google zugute kommen. Sie fordern nichts bezüglich der Anwender-Sicherheit. Sonst gäbe es mehr Updates auch für die unteren Preisklassen.

        Und Google muss sich noch etwas gefallen lassen: Das Herunterspielen der tatsächlichen Situation durch halbscharige Empfehlungen.

        Izzy


      • Izzy 56
        Izzy 16.02.2015 Link zum Kommentar

        Ich bezog mich mit dem "Schwarzen Peter" auch nicht auf Dich, Aries – das ist leider der generelle Tenor. Und das mit "Eine App für Nix" (sprich: jeder Web-Auftritt meint, seine eigene App zu brauchen), kann ich nur unterschreiben (+1 daher ;)

        Und ja, auch ich fordere an dieser Stelle von Google – die Hersteller entsprechend in die Pflicht zu nehmen. An der gleichen Stelle, wo sie auch für sich selber fordern ("alle 40 Google-Apps müssen auf dem Startbildschirm an erster Stelle stehen", etwas übertrieben ausgedrückt): In der MADA.

        DiDaDo


  • 11
    Simon B. 16.02.2015 Link zum Kommentar

    Ich bin noch mit Android 2.3.6 unterwegs, da brauche ich mir keine Sorgen um solche Lücken zu machen, da bei mir sicher noch mehrere Lücken offen sind als die WebView Lücke :P

    Gelöschter AccountUrmel1bvBernd Nobody


  • Izzy 56
    Izzy 17.01.2015 Link zum Kommentar

    "Damit wirklich keine App mehr die unsichere WebView-Komponente von Android nutzt, müsst Ihr ihr sagen, dass sie Links in einem externen Browser öffnen soll. Dies haben wir Euch schon einmal anhand von Facebook erläutert."

    Laut dem verlinkten Artikel muss die App also selbst in ihren Einstellungen die Möglichkeit bieten, das "umzustellen". Das impliziert für mich Dreierlei:

    1. Ich muss alle Apps einzeln händisch abklappern
    2. Beim Installieren einer neuen App daran denken, das zu prüfen
    3. Bietet eine App keine passende Option, habe ich ein "Sicherheits-Loch"

    Könnt Ihr natürlich nix dafür :) Aber habe ich das so richtig interpretiert? Oder habe ich etwas übersehen? Gibt es nicht zumindest für gerootete Geräte eine "zentrale Möglichkeit" – etwa mit einem Xposed-Modul?

    Eric Ferrari-HerrmannAlix J.


    • Eric Ferrari-Herrmann 44
      Eric Ferrari-Herrmann 19.01.2015 Link zum Kommentar

      Abklappern ist leider das notwendige Übel, korrekt.


      • Izzy 56
        Izzy 19.01.2015 Link zum Kommentar

        Also auch mit root keine Alternative (Xposed oder so)? Sonst ist u.U. ja schnell mal eine App übersehen...

        Eric Ferrari-Herrmann


      • Eric Ferrari-Herrmann 44
        Eric Ferrari-Herrmann 19.01.2015 Link zum Kommentar

        Das ist mir leider nicht bekannt. Aber wenn sich da etwas findet, können wir das gerne hier ergänzen.


      • Izzy 56
        Izzy 19.01.2015 Link zum Kommentar

        Ich habe bislang leider auch nichts finden können: Kein passendes Xposed Modul, keinen Patch zum Entfernen der Webview Komponente, o.ä. Da bliebe für "Altgeräte" als nennenswerte Alternative lediglich die Suche nach einem Custom ROM mit Android 4.4+ – wofür Dank zahlreicher offizieller und inoffizieller CyanogenMod-Ports die Chancen relativ gut stehen.

        Eric Ferrari-Herrmann


      • Eric Ferrari-Herrmann 44
        Eric Ferrari-Herrmann 19.01.2015 Link zum Kommentar

        Schade, dass sich Bootloader nicht nach Software-EOL von alleine entsperren.

        Izzy


      • Izzy 56
        Izzy 19.01.2015 Link zum Kommentar

        Dafür hätte ich Dir gern ein +10 gegeben! Wenn's nach mir ginge, müssten Hersteller ein Gerät so lange mit *aktueller* Firmware versorgen, bis sie den Bootloader (z.B. mit einem letzten "Update") entsperren. Und mit "aktuell" meine ich nicht, dass sie 2015 ein Update auf Android 4.2.1 liefern – sondern die jeweils aktuelle Version spätestens 6 Monate nach deren Erscheinen.

        Ulrich H.Bernd NobodyGelöschter AccountAlix J.Eric Ferrari-Herrmann


  • 15
    Alix J. 14.01.2015 Link zum Kommentar

    ... sry, falsch gepostet!! bitte einfach direkt zum nächstes kommentar springen und dieses nicht beachten xD


  • 15
    Alix J. 14.01.2015 Link zum Kommentar

    sry, für die dumme frage, aber woran erkenne ich, ob es sich bei dem dargestellten inhalt einer app um webview handelt oder nicht??


    • Eric Ferrari-Herrmann 44
      Eric Ferrari-Herrmann 14.01.2015 Link zum Kommentar

      Das ist eine ziemlich schlaue Frage. Als User kann man das nämlich nur schwer feststellen. Laut Chrome Developer https://developer.chrome.com/multidevice/user-agent muss der Useragent des alten (unsicheren) Webviews "Mozilla/5.0 (Linux; U; Android 4.1.1; en-gb; Build/KLP) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Safari/534.30" lauten. Rufe einfach eine Website wie http://whatsmyuseragent.com/ auf und schau nach. Wenn Deiner neuer ist, ist alles safe. :D

      ThorstenIzzyAlix J.


      • 21
        J. K. 14.01.2015 Link zum Kommentar

        Hallo, Eric,
        Android kommt bei mir überhaupt nicht vor; was schließe ich daraus?

        Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.154 Safari/537.6


      • Eric Ferrari-Herrmann 44
        Eric Ferrari-Herrmann 14.01.2015 Link zum Kommentar

        Sitzt du an einem Windows-7-Rechner?

        Mehmet Buhday


      • 15
        Alix J. 14.01.2015 Link zum Kommentar

        vedammt, so wie's aussieht hab ich wohl doch die unsichere version :(
        denn abgesehn von meiner android-version steht da bei mir so ziemlich das gleiche:

        Mozilla/5.0 (Linux; U; Android 4.3; de-de; GT-I9300 Build/JSS15J) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30

        übrigens danke für die schnelle antwort!!


      • 15
        Alix J. 14.01.2015 Link zum Kommentar

        hm interessant, wenn ich die gleiche seite mit chrome öffne, anstatt mit dem stock-browser, dann bekomme ich folgendes angezeigt:

        Mozilla/5.0 (Linux; Android 4.3; GT-I9300 Build/JSS15J) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.93 Mobile Safari/537.36

        inwiefern kann ich da jetzt rückschlüsse auf meine sicherheit im bezug auf webview in div. apps ziehen, denn immerhin bekomme ich mit dem stock-browser was anderes angezeigt als mit chrome?! ò.Õ

Zeige alle Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
VG Wort Zählerpixel