Google benötigt mehr als drei Jahre, um Schwachstelle zu beheben

Ende Mai 2015 wurde dieser Bericht zu einem Bug in Chrome 43 auf Android 5.1 Lollipop veröffentlicht. Der Titel - “Chrome on Android reveals the exact model and OS version of the device used via user agent” - spricht Bände. Googles Ingenieure hätten sich Gedanken um die möglichen Folgen machen sollen, doch bisher fehlt von einer Lösung jede Spur.

Google’s Chrome browser, WebView and Chrome Tabs for Android discloses information about the hardware model, firmware version and security patch level of the device on which it is running. This also affects any Android applications that are using Chrome to render web content. (Quelle: Nightwatchcybersecurity.com)

Google Chrome, WebView und die Chrome-Tabs für das Android-Betriebssystem geben also Informationen zum Hardware-Modell, zur Firmware-Version und zum Sicherheitspatch-Level des benutzten Geräts preis. Dies ist auch bei Android-Applikationen der Fall, die Chrome nutzen, um Webinhalte wiederzugeben.

Im Herbst 2015 veröffentlichte Nightwatch Cybersecurity einen weiteren, diesmal detaillierten Artikel zum Bug. Laut einem aktuelleren Bericht derselben Sicherheitsorganisation stellte Google im Oktober 2018 eine Teillösung bereit. Diese schaffte es zwar, die Build-Informationen zur Firmware zu schützen, die Geräte-Modellnummer ist jedoch nach wie vor zugänglich.

Mit dem Beginn des neuen Jahres 2019 kann man nur hoffen, dass Google demnächst mit einer ganzheitlichen Lösung aufwarten wird. Zwar gibt es in der Welt der Cybersecurity im Moment bestimmt größere Bedrohungen, doch auch kleinere Bugs sind ernst zu nehmende Gefahren.