Topthemen

Wie man mit altem Android sicher surft (auch nach dem Service-Stopp für WebView)

dolphin browser oppo n1 teaser
© nextpit

Google stellt den Sicherheits-Support für die WebView-Komponente in Android 4.3 und älter ein. Das muss nichts Schlimmes sein, aber Ihr solltet beim Surfen folgende Tipps für Apps und Browser beachten.

dolphin browser oppo n1 teaser
Mit der Jetpack-Engine wird der Dolphin Browser auf alten Android-Geräten sicher. / © ANDROIDPIT

Sicher im Web surfen: Nutzt die Beta-Version von WebView!

Google hat den Beta-Kanal für die WebView-Komponente eröffnet, um neue Features besonders schnell testen zu können. Diese ist derzeit leider nur für Lollipop-Nutzer verfügbar. Zu den Features zählen auch geschlossene Sicherheitslücken, weshalb es insbesondere kurzfristig ratsam ist, sich für die Vorab-Version anzumelden.

Und das geht wie folgt:

Besucht die Google+-Community des WebView Beta Channels, tretet Ihr über den Button am oberen Rand bei, meldet Euch im Play Store als Tester an und wenige Minuten später dürft Ihr den Play-Store-Eintrag aufrufen und die WebView-Engine herunterladen, die auf der jüngsten Version der Chromium Engine basiert.

Als Beta-Tester habt Ihr zwar die Vorzüge der frühsten Updates, jedoch treten hier und da Abstürze auf, sodass Ihr den Issue Tracker im Auge behalten solltet. Tritt ein Fehler auch in Eurer Version auf, markiert einfach den Stern und die Entwickler kümmern sich früher darum, dass er behoben wird.

Sicher im Web surfen: Inwiefern ist WebView unsicher?

Die WebView-Komponente ist in Android-Versionen 4.3 und älter ein Teil des Android-Kerns. Dieser dient dazu, dass Apps Websites öffnen können, ohne dass ein extra Browser-Fenster geöffnet werden muss. Diese In-App-Browser werden jedoch zum Einfallstor für Hacker, wenn sie nicht mehr mit Sicherheits-Patches versorgt werden. Daher erklären wir Euch im Folgenden, was Ihr auch mit älteren Android-Versionen tun könnt, um trotzdem sicher im Web zu browsen.

Sicher im Web surfen: Deaktiviert den Standard-Browser

Falls nicht schon geschehen, solltet Ihr den Stock-Browser von Android deaktivieren und stattdessen auf einen Browser mit einer eigenen Engine umsatteln. Hier bieten sich vorzugsweise Chrome, Chrome Beta oder Firefox an. Dolphin muss mit der Jetpack-Engine nachgerüstet werden. Sie alle werden über den Play Store regelmäßig und schnell mit Funktions-, Bugfix- und insbesondere mit Sicherheits-Updates versorgt.

  • Diese Standard-Apps von Android könnt Ihr ohne Probleme deaktivieren

Sicher im Web surfen: Deaktiviert In-App-Browser

Damit allein ist es noch nicht getan. Damit wirklich keine App mehr die unsichere WebView-Komponente von Android nutzt, müsst Ihr ihr sagen, dass sie Links in einem externen Browser öffnen soll. Dies haben wir Euch schon einmal anhand von Facebook erläutert.

  • Facebook: So deaktiviert Ihr den In-App-Browser

Analog gelten diese Regeln natürlich für etliche Feed-Reader oder News-Apps. Diese solltet Ihr zeitnah auf die Möglichkeit hin untersuchen, ob sie Links in externen Browsern öffnen können, damit sich nicht Scams wiederholen, bei denen etwa Werbebanner einfach Apps auf Eurem Smartphone installieren.

Sicher im Web surfen: Was ist mit Android 4.4 und neuer?

Da seit Android 4.4 KitKat die WebView-Komponente unabhängig vom Android-Kern über den Play Store aktualisiert wird, erhalten diese Versionen noch länger Sicherheits-Support. Hier müssen User nichts unternehmen, um weiterhin sicher zu browsen.

iPhone-15-Serie ohne und mit Vertrag (24 Monate)

  Direkt kaufen Telekom Vodafone o2 1&1
iPhone 15
ab 949 €
bei Amazon
*
MagentaMobil M*
(20 GB / 5G)
59,95 €/Monat
649,90 € einmalig
GigaMobil S*
(24 GB / 5G)
61,99 €/Monat
229,90 € einmalig
o2 Mobile M*
(25 GB + 5 GB / 5G)
64,99 €/Monat
45,98 € einmalig
Allnet-Flat-M+*
(20 GB / 5G)
56,99 €/Monat
39,90 € einmalig
iPhone 15 Plus
ab 1.099 €
bei Amazon
*
MagentaMobil M*
(20 GB / 5G)
59,95 €/Monat
779,90 € einmalig
GigaMobil S*
(24 GB / 5G)
61,99 €/Monat
379,90 € einmalig
o2 Mobile M*
(25 GB + 5 GB / 5G)
69,99 €/Monat
45,98 € einmalig
Allnet-Flat-M+*
(20 GB / 5G)
62,99 €/Monat
39,90 € einmalig
iPhone 15 Pro
ab 1.199 €
bei Amazon
*
MagentaMobil M*
(20 GB / 5G)
59,95 €/Monat
889,90 € einmalig
GigaMobil S*
(24 GB / 5G)
61,99 €/Monat
479,90 € einmalig
o2 Mobile M*
(25 GB + 5 GB / 5G)
79,99 €/Monat
45,98 € einmalig
Allnet-Flat-M+*
(20 GB / 5G)
66,99 €/Monat
39,90 € einmalig
iPhone 15 Pro Max
ab 1.449 €
bei Amazon
*
MagentaMobil M*
(20 GB / 5G)
59,95 €/Monat
1.129,90 € einmalig
GigaMobil S*
(24 GB / 5G)
61,99 €/Monat
729,90 € einmalig
o2 Mobile M*
(25 GB + 5 GB / 5G)
84,99 €/Monat
45,98 € einmalig
Allnet-Flat-M+*
(20 GB / 5G)
74,99 €/Monat
39,90 € einmalig
iPhone-15-Serie im Vergleich bei nextpit | iPhone-15-Serie mit Vertrag: Die besten Angebote
Zu den Kommentaren (43)
Eric Ferrari-Herrmann

Eric Ferrari-Herrmann
Senior Editor

Eric ist seit 2014 bei AndroidPIT. Seine alte Tech-Leidenschaft wird allmählich unterwandert von der Liebe zu mehr Nachhaltigkeit, Privatsphäre und dem Wunsch nach einer Zukunft für alle.

Zeige alle Artikel
Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
43 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • 50
    Gelöschter Account 16.02.2015 Link zum Kommentar

    > Google stellt den Sicherheits-Support für die WebView-Komponente in Android 4.3 und älter ein. Das muss nichts Schlimmes sein, aber Ihr solltet beim Surfen folgende Tipps für Apps und Browser beachten.

    Das ist nicht schlimm, das ist katastrophal! 11 Sicherheitslücken! Über mindestens eine lassen unbemerkt Apps installieren.

    Der Ratschlag, auf Chrome oder Firefox auszuweichen, greift zu kurz, weil viele Apps ebenfalls die Webview Komponente nutzen. Dies ist für die große Anwendermasse nicht erkennbar.


    • Izzy 56
      Izzy 16.02.2015 Link zum Kommentar

      Yupp, siehe http://heise.de/-2549172 ("Android-Exploit schleust beliebige Apps ein"). Kann eine Website eine vom Anwender unerwünschte App installieren? Klar doch! Sämtliche Kekse klauen? Sicher (Krümel wäre jetzt entsetzt!). Beliebige Befehle auf dem Gerät ausführen? Auch das...

      Aber realistisch betrachtet: Sind wir nicht etwas vorschnell damit, Google den "Schwarzen Peter" zuzustecken? Ich bin bekanntermaßen nicht unbedingt jemand, der Google verteidigt. Aber hier wären eher die Geräte-Hersteller in der Pflicht. Ich hau mal wieder in die "alte Kerbe": Entweder liefert man ständig die aktuellen Updates – oder man löst zumindest die (Bootloader-) Sperre, damit der Geräte-Nutzer sich selbige via Custom-ROM draufbügeln kann (wie hat Eric das weiter oben so schön getippst: "Schade, dass sich Bootloader nicht nach Software-EOL von alleine entsperren."). Vielleicht sollte Google das als "Pflicht" mit in die MADA-Klauseln aufnehmen.

      DiDaDo


      • 10
        Daniel Christof 16.02.2015 Link zum Kommentar

        Das Sperren des Bootloaders ist meiner Meinung nach gut und wichtig für alle Hersteller während der Garantie.
        Danach sollte es mir als Verbraucher jedoch ohne weiteres möglich sein diese Blockade zu entfernen!

        Zum Thema Updates vom Update zum Update...

        Hier schiebt einer dem anderen den schwarzen Peter zu. Die User wollen ständig neue Geräte mit neuen Features... Diese Nachfrage wird gestillt durch halbjährliche Modellwechsel. Da bleibt kaum Zeit noch Qualitativ hochwertige und fehlerfreie Betriebssysteme/Software wofür der Hersteller ja auch wieder geradestehen darf (Garantie)...

        Thema in die Autozene übertragen:

        Ganz ehrlich wieviele 60er VW Käfer mit Porscheboxermotor habt ihr gesehen?! oder gibt es noch?! tut das denn Not?


      • 50
        Gelöschter Account 16.02.2015 Link zum Kommentar

        Ich habe mit meinem Kommentar weder Google den schwarzen Peter zugeschoben, noch die Hersteller aus der Verantwortung genommen!

        Ich habe mich einzig und allein auf den zitierten Satz bezogen. Denn der lässt den normalen Anwender glauben, alles sei gar nicht so schlimm. "Ich nutze ja sowieso Chrome..." Dabei weiß er gar nicht, dass er im Prinzip viele Apps auf seinen Geräten hat, die nichts weiter sind als kastrierte Webbrowser für einen einzigen Internetauftritt und die genau die betroffene Web Engine einsetzen.

        An dieser Stelle muss ich wiederholen, was ich im Forum schon mehrfach geschrieben habe: Es gibt vielleicht für alles eine App, aber man braucht nicht für alles eine App. Es tut auch oft der Browser.

        Dennoch nehme ich sehr wohl Google bei der Lösung in die Pflicht. Sie fordern von den Herstellern bestimmte Dinge, um zertifiziert zu werden. Sie fordern aber nur Dinge, die Google zugute kommen. Sie fordern nichts bezüglich der Anwender-Sicherheit. Sonst gäbe es mehr Updates auch für die unteren Preisklassen.

        Und Google muss sich noch etwas gefallen lassen: Das Herunterspielen der tatsächlichen Situation durch halbscharige Empfehlungen.

        Izzy


      • Izzy 56
        Izzy 16.02.2015 Link zum Kommentar

        Ich bezog mich mit dem "Schwarzen Peter" auch nicht auf Dich, Aries – das ist leider der generelle Tenor. Und das mit "Eine App für Nix" (sprich: jeder Web-Auftritt meint, seine eigene App zu brauchen), kann ich nur unterschreiben (+1 daher ;)

        Und ja, auch ich fordere an dieser Stelle von Google – die Hersteller entsprechend in die Pflicht zu nehmen. An der gleichen Stelle, wo sie auch für sich selber fordern ("alle 40 Google-Apps müssen auf dem Startbildschirm an erster Stelle stehen", etwas übertrieben ausgedrückt): In der MADA.

        DiDaDo


  • 11
    Simon B. 16.02.2015 Link zum Kommentar

    Ich bin noch mit Android 2.3.6 unterwegs, da brauche ich mir keine Sorgen um solche Lücken zu machen, da bei mir sicher noch mehrere Lücken offen sind als die WebView Lücke :P

    Gelöschter AccountUrmel1bvBernd Nobody


  • Izzy 56
    Izzy 17.01.2015 Link zum Kommentar

    "Damit wirklich keine App mehr die unsichere WebView-Komponente von Android nutzt, müsst Ihr ihr sagen, dass sie Links in einem externen Browser öffnen soll. Dies haben wir Euch schon einmal anhand von Facebook erläutert."

    Laut dem verlinkten Artikel muss die App also selbst in ihren Einstellungen die Möglichkeit bieten, das "umzustellen". Das impliziert für mich Dreierlei:

    1. Ich muss alle Apps einzeln händisch abklappern
    2. Beim Installieren einer neuen App daran denken, das zu prüfen
    3. Bietet eine App keine passende Option, habe ich ein "Sicherheits-Loch"

    Könnt Ihr natürlich nix dafür :) Aber habe ich das so richtig interpretiert? Oder habe ich etwas übersehen? Gibt es nicht zumindest für gerootete Geräte eine "zentrale Möglichkeit" – etwa mit einem Xposed-Modul?

    Eric Ferrari-HerrmannAlix J.


    • Eric Ferrari-Herrmann 44
      Eric Ferrari-Herrmann 19.01.2015 Link zum Kommentar

      Abklappern ist leider das notwendige Übel, korrekt.


      • Izzy 56
        Izzy 19.01.2015 Link zum Kommentar

        Also auch mit root keine Alternative (Xposed oder so)? Sonst ist u.U. ja schnell mal eine App übersehen...

        Eric Ferrari-Herrmann


      • Eric Ferrari-Herrmann 44
        Eric Ferrari-Herrmann 19.01.2015 Link zum Kommentar

        Das ist mir leider nicht bekannt. Aber wenn sich da etwas findet, können wir das gerne hier ergänzen.


      • Izzy 56
        Izzy 19.01.2015 Link zum Kommentar

        Ich habe bislang leider auch nichts finden können: Kein passendes Xposed Modul, keinen Patch zum Entfernen der Webview Komponente, o.ä. Da bliebe für "Altgeräte" als nennenswerte Alternative lediglich die Suche nach einem Custom ROM mit Android 4.4+ – wofür Dank zahlreicher offizieller und inoffizieller CyanogenMod-Ports die Chancen relativ gut stehen.

        Eric Ferrari-Herrmann


      • Eric Ferrari-Herrmann 44
        Eric Ferrari-Herrmann 19.01.2015 Link zum Kommentar

        Schade, dass sich Bootloader nicht nach Software-EOL von alleine entsperren.

        Izzy


      • Izzy 56
        Izzy 19.01.2015 Link zum Kommentar

        Dafür hätte ich Dir gern ein +10 gegeben! Wenn's nach mir ginge, müssten Hersteller ein Gerät so lange mit *aktueller* Firmware versorgen, bis sie den Bootloader (z.B. mit einem letzten "Update") entsperren. Und mit "aktuell" meine ich nicht, dass sie 2015 ein Update auf Android 4.2.1 liefern – sondern die jeweils aktuelle Version spätestens 6 Monate nach deren Erscheinen.

        Ulrich H.Bernd NobodyGelöschter AccountAlix J.Eric Ferrari-Herrmann


  • 15
    Alix J. 14.01.2015 Link zum Kommentar

    ... sry, falsch gepostet!! bitte einfach direkt zum nächstes kommentar springen und dieses nicht beachten xD


  • 15
    Alix J. 14.01.2015 Link zum Kommentar

    sry, für die dumme frage, aber woran erkenne ich, ob es sich bei dem dargestellten inhalt einer app um webview handelt oder nicht??


    • Eric Ferrari-Herrmann 44
      Eric Ferrari-Herrmann 14.01.2015 Link zum Kommentar

      Das ist eine ziemlich schlaue Frage. Als User kann man das nämlich nur schwer feststellen. Laut Chrome Developer https://developer.chrome.com/multidevice/user-agent muss der Useragent des alten (unsicheren) Webviews "Mozilla/5.0 (Linux; U; Android 4.1.1; en-gb; Build/KLP) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Safari/534.30" lauten. Rufe einfach eine Website wie http://whatsmyuseragent.com/ auf und schau nach. Wenn Deiner neuer ist, ist alles safe. :D

      ThorstenIzzyAlix J.


      • 21
        J. K. 14.01.2015 Link zum Kommentar

        Hallo, Eric,
        Android kommt bei mir überhaupt nicht vor; was schließe ich daraus?

        Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.154 Safari/537.6


      • Eric Ferrari-Herrmann 44
        Eric Ferrari-Herrmann 14.01.2015 Link zum Kommentar

        Sitzt du an einem Windows-7-Rechner?

        Mehmet Buhday


      • 15
        Alix J. 14.01.2015 Link zum Kommentar

        vedammt, so wie's aussieht hab ich wohl doch die unsichere version :(
        denn abgesehn von meiner android-version steht da bei mir so ziemlich das gleiche:

        Mozilla/5.0 (Linux; U; Android 4.3; de-de; GT-I9300 Build/JSS15J) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30

        übrigens danke für die schnelle antwort!!


      • 15
        Alix J. 14.01.2015 Link zum Kommentar

        hm interessant, wenn ich die gleiche seite mit chrome öffne, anstatt mit dem stock-browser, dann bekomme ich folgendes angezeigt:

        Mozilla/5.0 (Linux; Android 4.3; GT-I9300 Build/JSS15J) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.93 Mobile Safari/537.36

        inwiefern kann ich da jetzt rückschlüsse auf meine sicherheit im bezug auf webview in div. apps ziehen, denn immerhin bekomme ich mit dem stock-browser was anderes angezeigt als mit chrome?! ò.Õ


      • 21
        J. K. 15.01.2015 Link zum Kommentar

        @Eric
        Samsung S2, gerootet, 4.1.2, mit Boat Browser


      • 17
        DanHo 16.02.2015 Link zum Kommentar

        Dann verändert der Boat Browser den User Agent, denn der Website wird vorgegaukelt, dass du Win7 64bit nutzt.


  • 8
    Gelöschter Account 14.01.2015 Link zum Kommentar

    Das Webview kann man aber leider nicht deaktivieren und viele Apps benutzen das!


    • Eric Ferrari-Herrmann 44
      Eric Ferrari-Herrmann 14.01.2015 Link zum Kommentar

      Ja, das ist echt mist. Aber solange Apps ihn nur nutzen, um App-interne HTML- und JavaScript-Komponenten zu rendern, ist es recht sicher. Kritisch wird es, wenn die App darüber eine unsichere Verbindung ins Internet aufbaut.


  • Edward He 18
    Edward He 14.01.2015 Link zum Kommentar

    Kennt jemand ein Gerät von 2013 dass kein Kit Kat hat oder nicht mehr erhält?
    Vor 2013 ist dass Smartphone sowieso out of date...


    • Patrick D 4
      Patrick D 14.01.2015 Link zum Kommentar

      iphone 5s 😂😂😝


    • 50
      Gelöschter Account 15.01.2015 Link zum Kommentar

      HTC Desire 500


  • 17
    Murphy 14.01.2015 Link zum Kommentar

    Wir sind verloren!....... Nervösrumrenn......... Der jüngste Tag naht! Ihr seid sowas von Paranoid. Macht einfach das was in diesem Beitrag steht. Falls nicht, wird auch nichts geschehen.

    Gelöschter AccountGelöschter AccountEdward He


    • 50
      Gelöschter Account 15.01.2015 Link zum Kommentar

      > Macht einfach das was in diesem Beitrag steht. Falls nicht, wird auch nichts geschehen.

      Garantierst du für den zweiten Teil deiner Aussage?

      Frank K.Bernd Nobody


    • 50
      Gelöschter Account 15.01.2015 Link zum Kommentar

      > Macht einfach das was in diesem Beitrag steht. Falls nicht, wird auch nichts geschehen.

      Garantierst du für den zweiten Teil deiner Aussage?


  • 12
    Michael 13.01.2015 Link zum Kommentar

    Finde den Schritt absolut ok! Immerhin will Android einheitlicher erwachsener werden! Und das passiert spätestens jetzt! Entweder man bleibt im Mainstream uptodate, oder die Passagiere gehen über Bord!

    Alix J.Edward HeMilestone 2


  • 16
    ANDROID LOVE 13.01.2015 Link zum Kommentar

    Ich habe das Galaxy S4 2013 mit Android 4.4.2 gekauft.
    Das kam mir so supermodern vor. Jetz labded es mit Windows 7 auf dem Friedhof der Betriebssysreme


    • DiDaDo 98
      DiDaDo 13.01.2015 Link zum Kommentar

      Mit 4.4.2? Artikel nicht gelesen oder nicht verstanden?

      IzzyMicha Schy.Edward HeMilestone 2bekat68Siniox


      • Micha Schy. 31
        Micha Schy. 14.01.2015 Link zum Kommentar

        Ich glaube, er hat es nicht gelesen.
        @ ANDROID LOVE: Das S4 bekommt höchstwahrscheinlich auch noch das Update auf Lollipop, also kein Grund, melancholisch zu werden.


      • DiDaDo 98
        DiDaDo 14.01.2015 Link zum Kommentar

        Und wenn nicht, ist die Sache mit 4.4 gefixed, so wie es im Artikel gleich im ersten Satz steht.


    • 10
      Hendrik Fischer 14.01.2015 Link zum Kommentar

      Hat die werbung ja gewirkt :D das kann samsung echt gut.


      • Patrick 33
        Patrick 16.02.2015 Link zum Kommentar

        Lesen ist offensichtlich nicht jedermanns sache😉


  • 25
    joe 13.01.2015 Link zum Kommentar

    finde ich auch,
    als Beispiel , Note 2 , Android 4.3 ? Nicht mehr unterstützt ?
    schöne neue Welt, mehrere Hundert Euro ausgeben und nach ca. 2 Jahren,
    ist die Ware so über / veraltet, das sie ohne Custom Rom nicht mehr Sicher betrieben werden kann......

    Betrifft mich mit Note 2 Duos und Custom Rom zwar nicht, ist aber doch ziemlich fies.

    Bernd Nobody


    • Edward He 18
      Edward He 14.01.2015 Link zum Kommentar

      Meine mutter hat 4.4 auf ihrem Geschäfts Note 2 Lte...


    • Patrick 33
      Patrick 16.02.2015 Link zum Kommentar

      Eigentlich hat das Note 2 4.4, soll sogar 5.0 bekommen.


  • Cress 44
    Cress 13.01.2015 Link zum Kommentar

    4.3 wird schon jetzt eingestellt?
    Sehr sehr arm von Google!

    Gelöschter AccountAlix J.Bernd Nobody


    • DiDaDo 98
      DiDaDo 13.01.2015 Link zum Kommentar

      Wieso? Google ist schon einige Versionen weiter. Sehr arm von den Herstellern, dass sie noch nicht weiter sind. Wieso sollte Google da Rücksicht nehmen?

      Julian DanielsMichael H.Gelöschter AccountSimon DeubzerGelöschter AccountFrieder Z.Gelöschter AccountFelix H.Nizam G.jurgen e.Simon Bayerttt tttKevin WillkommEdward HeSven R.Milestone 2Felix Meier


      • Siniox 35
        Siniox 13.01.2015 Link zum Kommentar

        edit

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
VG Wort Zählerpixel