Sicherheits-Lücke im Android-Browser: Daten und Passwörter nicht sicher

Der Sicherheits-Experte Rafay Baloch hat eine Lücke in Androids Standard-Browser entdeckt, vor der jetzt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seinem Portal „Bürger CERT“ warnt: Die Sicherheitslücke betrifft den Standard-Browser AOSP, der vor allem auf Handys mit einer älteren Android-Version standardmäßig installiert ist: Dieser soll eine gefährliche Sicherheitslücke enthalten, mit der private Daten ausgelesen werden können.

Rafay Baloch hatte herausgefunden, dass der Browser eine Lücke in der „Same Origin Policy“ enthält, die eine präparierte Webseite gezielt ausnutzen kann. Über diese Sicherheits-Lücke können Angreifer persönliche Daten eines Benutzers auslesen: Sie sollen per Javascript an Inhalte aus anderen geöffneten Browser-Tabs gelangen und so dort eventuell private Daten wie Emails, Kurznachrichten oder auch Passwörter ausspähen, aber auch Daten aus einem Cookie auslesen können, der eigentlich zu einer anderen Webseite gehört. Baloch hat den Fehler nach eigenen Angaben auf Handys der Marken Samsung, HTC, Sony und Motorola gefunden. Betroffen sein sollen vor allem ältere Android-Version, die entweder nicht aktualisiert wurden oder auf günstigeren Einsteiger-Handys installiert sind, die für neuere Versionen des Android-Betriebssystems nicht genug RAM oder Speicher besitzen.

Einige einfache Beispiel-Codes zum Umgehen der „Same Origin Policy“ hat Rafay Baloch auf seiner Webseite gezeigt, auf der er den möglichen Angriff auf den Browser noch detaillierter erklärt.

Dieser Angriff soll theoretisch bei allen Android-Versionen vor 4.4.x möglich sein – das BSI geht aber davon aus, dass zumindest die Android-Versionen ab 4.2.1 von der Sicherheitslücke betroffen sind. Neuere Android-Versionen ab Version 4.4 nutzen statt dem AOSP-Browser den Chrome Browser von Google, der auf einer anderen Technik basiert und nicht von der Lücke betroffen ist. Wer sein Smartphone oder Tablet nicht auf eine neuere Android-Version updaten kann oder möchte, sollte stattdessen einen alternativen Browser installieren und nutzen.

 
Alternative Android-Browser:

• Firefox for Android
• Google Chrome Browser
• Opera Browser