Sicherheitsexperte Thomas Cannon hat nach eigenen Angaben eine Sicherheitslücke in Android entdeckt. Über präparierte Webseiten sei es Angreifern möglich lokale Dateien des Nutzers auszulesen. Entdeckt wurde die Lücke auf einem HTC Desire mit Android 2.2 - heise security konnte die Lücke auch auf einem Google Nexus One und Samsungs Galaxy Tab nachvollziehen. Auch ältere Versionen sollen betroffen sein.

Sicherheitsleck

Über die Lücke ließen sich die Systemverzeichnisse nicht einsehen, nur auf Benutzerdaten könne zugegriffen werden. Außerdem müsse der Angreifer den Pfad kennen, was aber beispielsweise bei Fotos - welche mit fortlaufender Nummer gespeichert werden - nicht schwieirg sei. Öffnet man solch einen präparierten Link sendet der Server des Angreifers eine mit Javascript versehene HTML-Datei an den jeweilige Browser. Dieser lädt die Datei dann automatisch herunter und führt diese mit lokalen Rechten aus. So ließen sich Benutzerdaten an den Server im Hintergrund übertragen.

Schutzmaßnahmen

Schützen kann man sich vor möglichen Angriffen durch die Deaktivierung von Javascript. Allerdings nur bedingt, so kann sich eine entsprechende Datei auch als Email-Anhang ins System einschleusen. 

Google erklärte nach Bekanntwerden der Lücke sich um das Problem zu kümmern. (red)

Der WebStandard auf Facebook