BSI warnt vor gefährlicher Sicherheits-Lücke bei älteren Android-Browsern

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt auf seinem Portal „Bürger CERT“ vor einer Sicherheitslücke in dem Android Browser AOSP, der vor allem auf Handys mit einer älteren Android-Version standardmäßig installiert ist: Dieser soll eine gefährliche Sicherheitslücke enthalten, mit der private Daten ausgelesen werden können. Der Sicherheits-Experte Rafay Baloch hatte herausgefunden, dass er eine Lücke in der „Same Origin Policy“ enthält, die eine präparierte Webseite gezielt ausnutzen kann.

Über diese Sicherheits-Lücke können Angreifer persönliche Daten eines Benutzers auslesen können: Sie sollen per Javascript an Inhalte aus anderen geöffneten Browser-Tabs gelangen und so dort eventuell private Daten wie Emails oder Kurznachrichten ausspähen, aber auch Daten aus einem Cookie auslesen können, der eigentlich zu einer anderen Webseite gehört. Baloch hat den Fehler nach eigenen Angaben auf Handys der Marken Samsung, HTC, Sony und Motorola gefunden. Betroffen sein sollen vor allem ältere Android-Version, die entweder nicht aktualisiert wurden oder auf günstigeren Einsteiger-Handys installiert sind, die für neuere Versionen des Android-Betriebssystems nicht genug RAM oder Speicher besitzen.

Dieser Angriff soll theoretisch bei allen Android-Versionen vor 4.4.x möglich sein – das BSI geht aber davon aus, dass zumindest die Android-Versionen ab 4.2.1 von der Sicherheitslücke betroffen sei. Neuere Android-Versionen ab Version 4.4 nutzen statt dem AOSP-Browser den Chrome Browser von Google, der auf einer anderen Technik basiert und nicht von der Lücke betroffen ist. Wer sein Smartphone oder Tablet nicht auf eine neuere Android-Version updaten kann oder möchte, sollte stattdessen einen alternativen Browser installieren und nutzen.

 
Alternative Android-Browser:

• Firefox for Android
• Google Chrome Browser
• Opera Browser