Sicherheitslücke gefährdet alte Android-Browser

16. September 2014, 15:10
14 Postings

AOSP-basierte Browser vor der Version 4.4 von Android betroffen - Unklare Bedrohungsfrage

Eine Sicherheitslücke in alten Versionen des Browsers des Android Open Source Project (AOSP) könnte dafür genutzt werden, um sensible Daten auszulesen. Davor warnt nun ein Eintrag im Forum von Rapid 7, zudem wurde auch bereits ein fertiger Exploit für die Lücke veröffentlicht.

Konkrete Gefährdung

Über eine manipulierte Webseite können Angreifer dabei die "Same-Origin Policy" des Browsers austricksen, womit der Zugriff auf Daten anderer Seiten möglich wird.. Dabei könnten durchaus sensible Informationen wie Autorisierungs-Cookies oder private Daten abgegriffen werden, wie die Entdecker der Lücke warnen.

Unklare Situation

Betroffen sind offenbar AOSP-Browser vor der Version 4.4 von Android. Wie weit sie zurückreicht ist unklar, sie dürfte aber zumindest seit Android 4.2.1 enthalten sein. Auch sonst ist schwer abzuschätzen, wie viele Geräte wirklich von dieser Lücke gefährdet sind. Immerhin ist bereits seit Android 4.2 Google Chrome der Default-Browser des mobilen Betriebssystem, und dieser ist von der Lücke generell nicht betroffen. Auch wird Chrome regelmäßig über den Play Store auf dem aktuellen Stand gehalten. Allerdings liefern viele Hersteller eigene, AOSP-basierte Browser zusätzlich mit, die potentiell gefährdet sein könnten.

Alternativen

Bei Rapid 7 schätzt man die Gefährdung jedenfalls als durchaus real ein, und will in den kommenden Tagen auch ein Demonstrationsvideo veröffentlichen, um dies zu unterstreichen. Unterdessen empfiehlt sich allen, die auf älteren Android-Versionen unterwegs sind, einen anderen Browser als den AOSP-basierten zu verwenden, also etwa Chrome oder Firefox. (apo, derStandard.at, 16.9.2014)

  • Mangelnde Updates durch die Hersteller sind wieder einmal die Grundlage für eine aktuelle Android-SIcherheitsgefährdung.
    foto: stephen lam / reuters

    Mangelnde Updates durch die Hersteller sind wieder einmal die Grundlage für eine aktuelle Android-SIcherheitsgefährdung.

Share if you care.