Android: schwere Sicherheitslücke in Standard-Browser entdeckt

von Christian Schartel am , 10:22 Uhr

Die Schwachstelle im Browser der Android Open Source Platform (AOSP) ermöglicht es Angreifern, mithilfe einer manipulierten Webseite Daten einer anderen gleichzeitig geöffneten Webseite auszulesen. Anfällig sind alle Versionen vor Android 4.4 KitKat. Bis zu einem Patch sollten Nutzer auf einen anderen Browser wie Chrome, Firefox oder Opera umsteigen.

Der Standard-Browser von Android [1] ist von einer schwerwiegenden Sicherheitslücke betroffen, die es Angreifern ermöglicht, Inhalte beliebig geöffneter Webseiten auszuspähen. Einzelheiten zu der Schwachstelle hatte der Sicherheitsforscher Rafay Baloch [2] bereits Anfang September in einem Blogbeitrag [3] veröffentlicht. Aufmerksamkeit erlangte sie jedoch erst jetzt durch einen Eintrag im Metasploit-Blog [4] des Sicherheitsunternehmens Rapid7.

android_aosp_browser [5]

Die Zero-Day-Lücke lässt sich mithilfe einer manipulierten Webseite ausnutzen. Der Fehler besteht darin, dass Angreifer die Same-Origin-Richtlinie des Browsers der Android Open Source Platform (AOSP) umgehen können. Konkret bedeutet dies, dass Angreifer, die einen Smartphone [6]- oder Tablet-Besitzer auf eine entsprechend präparierte Webseite locken, die Daten einer anderen gleichzeitig geöffneten Webseite auslesen können, so Tod Beardsley, ein Mitglied des Metasploit-Projekts [7].

Gelangt ein Android-Nutzer auf solch eine Seite und hat beispielsweise gerade sein E-Mail-Konto in einem anderen Tab geöffnet, könnte ein Hacker alle Inhalte sehen, die auch der Nutzer auf seinen Bildschirm sieht. Es ließen sich E-Mail-Daten abfangen oder – noch schlimmer – eine Kopie des Session-Cookies entwenden, die dazu verwendet werden kann, eine komplette Sitzung vollständig zu übernehmen und  E-Mails im Namen des Anwender zu lesen und zu schreiben.

Der Bug sei eine “Katastrophe” für die Privatsphäre, so Beardsley weiter. Die Same-Origin-Richtlinie sei die Grundlage des Datenschutzes im Web und eine entscheidende Komponente der Sicherheit eines Browsers.

Google [8] hat sich dem Blogeintrag zufolge bisher nicht zu der Schwachstelle geäußert. Beardsley beklagt zudem, dass bis zur Veröffentlichung seines Blogeintrags niemand in der Android-Security-Community der Sicherheitslücke irgendwelche Aufmerksamkeit geschenkt habe. Dadurch würde auch nach zwei Wochen immer noch an den genauen Auswirkungen der Sicherheitslücke geforscht.

Betroffen sind offenbar alle Android-Versionen vor 4.4 KitKat. KitKat wiederum hatte laut Googles eigener Statistik, die sich auf den einwöchigen Zeitraum bis 9. September bezieht, zuletzt einen Anteil von 24,5 Prozent [9]. Damit wären rund 75 aller Android-Geräte, die auf Googles Play Store zugreifen, anfällig für die Zero-Day-Lücke.

Nutzer, die Googles vorinstallierten Android-Browser, der in der Regel nur den Titel „Internet“ oder „Browser“ trägt, einsetzen, sollten bis zur Veröffentlichung eines Updates auf eine Alternative wie Google Chrome, Mozilla [10] Firefox oder Opera umsteigen. Hier geht’s zum Download des Chrome- [11], Firefox- [12] oder Opera-Browsers [13].

Beardsley zufolge ist der AOSP-Browser, obwohl Google ihn schon vor einiger Zeit durch Chrome ersetzt hat, bei Nutzern immer noch sehr beliebt. Vorinstalliert ist der Standard-Browser beispielsweise noch auf HTC [14]-, Sony [15]- und Samsung [16]-Geräten wie dem HTC One, HTC One (M8), dem Xperia Z2 oder Galaxy S4 und Galaxy S5. Auf dem Nexus 4 und Nexus 5 [17] ist beispielsweise nur noch Googles Chrome zu finden. Im Internet fänden sich aber auch zahlreiche Anleitungen, um den namenlosen Android-Browser auf Geräten zu installieren, die ab Werk mit Google Chrome ausgestattet seien.

Net Applications [18] ermittelte im August für den Android-Browser in der Version 4.0 einen Anteil von 20,14 Prozent. Damit belegte er im vergangenen Monat Platz 2 hinter Safari 7 (29,63 Prozent) und vor Chrome 36 (10,15 Prozent).

[Mit Material von Stefan Beiersmann, ZDNet.de [19]]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de [20]

Artikel von CNET.de: http://www.cnet.de

URL zum Artikel: http://www.cnet.de/88136899/android-schwere-sicherheitsluecke-standard-browser-entdeckt/

URLs in this post:

[1] Android: http://www.cnet.de/themen/android/

[2] Rafay Baloch: https://twitter.com/rafaybaloch

[3] Blogbeitrag: http://www.rafayhackingarticles.net/2014/08/android-browser-same-origin-policy.html

[4] Metasploit-Blog: https://community.rapid7.com/community/metasploit/blog/2014/09/15/major-android-bug-is-a-privacy-disaster-cve-2014-6041

[5] Image: http://www.cnet.de/wp-content/uploads/2014/09/android_aosp_browser.jpg

[6] Smartphone: http://www.cnet.de/themen/smartphone/

[7] Metasploit-Projekts: http://de.wikipedia.org/wiki/Metasploit

[8] Google: http://www.cnet.de/unternehmen/google-inc/

[9] einen Anteil von 24,5 Prozent: http://www.zdnet.de/88205582/knapp-ein-viertel-aller-android-geraete-nutzt-kitkat/

[10] Mozilla: http://www.cnet.de/unternehmen/mozilla/

[11] Chrome-: https://play.google.com/store/apps/details?id=com.android.chrome&hl=de

[12] Firefox-: https://play.google.com/store/apps/details?id=org.mozilla.firefox&hl=de

[13] Opera-Browsers: https://play.google.com/store/apps/details?id=com.opera.browser&hl=de

[14] HTC: http://www.cnet.de/unternehmen/htc/

[15] Sony: http://www.cnet.de/unternehmen/sony/

[16] Samsung: http://www.cnet.de/unternehmen/samsung/

[17] Nexus 5: http://www.cnet.de/themen/nexus-5/

[18] Net Applications: http://netmarketshare.com/

[19] ZDNet.de: http://www.zdnet.de/88205997/zero-day-luecke-android-browser-ermoeglicht-datendiebstahl/

[20] Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de: http://www.silicon.de/quiz/sind-sie-ein-android-kenner-23-1/