Alternative Browser: Schutz vor Sicherheits-Lücke im Android-Browser

In dem Web-Browser für ältere Android-Versionen (vor 4.4.x) wurde eine Sicherheitslücke entdeckt: Wer das System nicht updaten kann, sollte daher den Browser wechseln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Sicherheits-Experte Rafay Baloch warnen vor einer neuen Lücke in Androids Standard-Browser: Die Sicherheitslücke betrifft den Standard-Browser AOSP, der bei einer älteren Android-Version standardmäßig installiert ist.

 
Alternative Android-Browser:

• Firefox for Android
• Google Chrome Browser
• Opera Browser

 
Der Sicherheits-Experte Rafay Baloch hatte herausgefunden, dass der Browser eine Lücke in der „Same Origin Policy“ enthält, die eine präparierte Webseite gezielt ausnutzen kann. Über diese Sicherheits-Lücke können Angreifer persönliche Daten eines Benutzers auslesen: Sie sollen per Javascript an Inhalte aus anderen geöffneten Browser-Tabs gelangen und so dort eventuell private Daten wie Emails, Kurznachrichten oder auch Passwörter ausspähen, aber auch Daten aus einem Cookie auslesen können, der eigentlich zu einer anderen Webseite gehört. Baloch hat den Fehler nach eigenen Angaben auf Handys der Marken Samsung, HTC, Sony und Motorola gefunden. Betroffen sein sollen vor allem ältere Android-Version, die entweder nicht aktualisiert wurden oder auf günstigeren Einsteiger-Handys installiert sind, die für neuere Versionen des Android-Betriebssystems nicht genug RAM oder Speicher besitzen – aus diesem Grund stellen die Herseteller oft kein Uodate auf neuere Android-Versionen zur Verfügung – daher sollten die Nutzer zumindest zu einem sicheren Browser wechseln.

Einige einfache Beispiel-Codes zum Umgehen der „Same Origin Policy“ hat Rafay Baloch auf seiner Webseite gezeigt, auf der er den möglichen Angriff auf den Browser noch detaillierter erklärt.

Dieser Angriff soll theoretisch bei allen Android-Versionen vor 4.4.x möglich sein – das BSI geht aber davon aus, dass zumindest die Android-Versionen ab 4.2.1 von der Sicherheitslücke betroffen sind. Neuere Android-Versionen ab Version 4.4 haben statt dem AOSP-Browser den Chrome Browser von Google standardmäßig installiert, der auf einer anderen Technik basiert und nicht von der Sicherheits-Lücke betroffen ist.