Android: schwere Sicherheitslücke in Standard-Browser entdeckt

Die Schwachstelle im Browser der Android Open Source Platform (AOSP) ermöglicht es Angreifern, mithilfe einer manipulierten Webseite Daten einer anderen gleichzeitig geöffneten Webseite auszulesen. Anfällig sind alle Versionen vor Android 4.4 KitKat. Bis zu einem Patch sollten Nutzer auf einen anderen Browser wie Chrome, Firefox oder Opera umsteigen.

Der Standard-Browser von Android ist von einer schwerwiegenden Sicherheitslücke betroffen, die es Angreifern ermöglicht, Inhalte beliebig geöffneter Webseiten auszuspähen. Einzelheiten zu der Schwachstelle hatte der Sicherheitsforscher Rafay Baloch bereits Anfang September in einem Blogbeitrag veröffentlicht. Aufmerksamkeit erlangte sie jedoch erst jetzt durch einen Eintrag im Metasploit-Blog des Sicherheitsunternehmens Rapid7.

android_aosp_browser

Die Zero-Day-Lücke lässt sich mithilfe einer manipulierten Webseite ausnutzen. Der Fehler besteht darin, dass Angreifer die Same-Origin-Richtlinie des Browsers der Android Open Source Platform (AOSP) umgehen können. Konkret bedeutet dies, dass Angreifer, die einen Smartphone- oder Tablet-Besitzer auf eine entsprechend präparierte Webseite locken, die Daten einer anderen gleichzeitig geöffneten Webseite auslesen können, so Tod Beardsley, ein Mitglied des Metasploit-Projekts.

Gelangt ein Android-Nutzer auf solch eine Seite und hat beispielsweise gerade sein E-Mail-Konto in einem anderen Tab geöffnet, könnte ein Hacker alle Inhalte sehen, die auch der Nutzer auf seinen Bildschirm sieht. Es ließen sich E-Mail-Daten abfangen oder – noch schlimmer – eine Kopie des Session-Cookies entwenden, die dazu verwendet werden kann, eine komplette Sitzung vollständig zu übernehmen und  E-Mails im Namen des Anwender zu lesen und zu schreiben.

Der Bug sei eine “Katastrophe” für die Privatsphäre, so Beardsley weiter. Die Same-Origin-Richtlinie sei die Grundlage des Datenschutzes im Web und eine entscheidende Komponente der Sicherheit eines Browsers.

Google hat sich dem Blogeintrag zufolge bisher nicht zu der Schwachstelle geäußert. Beardsley beklagt zudem, dass bis zur Veröffentlichung seines Blogeintrags niemand in der Android-Security-Community der Sicherheitslücke irgendwelche Aufmerksamkeit geschenkt habe. Dadurch würde auch nach zwei Wochen immer noch an den genauen Auswirkungen der Sicherheitslücke geforscht.

Betroffen sind offenbar alle Android-Versionen vor 4.4 KitKat. KitKat wiederum hatte laut Googles eigener Statistik, die sich auf den einwöchigen Zeitraum bis 9. September bezieht, zuletzt einen Anteil von 24,5 Prozent. Damit wären rund 75 aller Android-Geräte, die auf Googles Play Store zugreifen, anfällig für die Zero-Day-Lücke.

Nutzer, die Googles vorinstallierten Android-Browser, der in der Regel nur den Titel „Internet“ oder „Browser“ trägt, einsetzen, sollten bis zur Veröffentlichung eines Updates auf eine Alternative wie Google Chrome, Mozilla Firefox oder Opera umsteigen. Hier geht’s zum Download des Chrome-, Firefox- oder Opera-Browsers.

Beardsley zufolge ist der AOSP-Browser, obwohl Google ihn schon vor einiger Zeit durch Chrome ersetzt hat, bei Nutzern immer noch sehr beliebt. Vorinstalliert ist der Standard-Browser beispielsweise noch auf HTC-, Sony- und Samsung-Geräten wie dem HTC One, HTC One (M8), dem Xperia Z2 oder Galaxy S4 und Galaxy S5. Auf dem Nexus 4 und Nexus 5 ist beispielsweise nur noch Googles Chrome zu finden. Im Internet fänden sich aber auch zahlreiche Anleitungen, um den namenlosen Android-Browser auf Geräten zu installieren, die ab Werk mit Google Chrome ausgestattet seien.

Net Applications ermittelte im August für den Android-Browser in der Version 4.0 einen Anteil von 20,14 Prozent. Damit belegte er im vergangenen Monat Platz 2 hinter Safari 7 (29,63 Prozent) und vor Chrome 36 (10,15 Prozent).

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

3 Kommentare zu Android: schwere Sicherheitslücke in Standard-Browser entdeckt

  • Am 17. September 2014 um 16:42 von oye Bossa

    mW ist eine bewusste Benutzung eines sicheren Browsers sowieso Voraussetzung

    • Am 22. September 2014 um 15:59 von berthu

      leider weß das der Käufer vom Androidgerät wie jetzt erst Jahre danach.
      Weil keine tiefgreifenden SW-Tests vorausgehen.
      Android ist eine ganz große, chaotische Spielwiese!

    • Am 22. September 2014 um 16:00 von berthu

      Wieso Browser wechseln?
      Die sollen gefälligst das Patchen und Updaten!

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *