Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Sicherheits-Experte Rafay Baloch warnen vor einer neuen Lücke in Androids Standard-Browser: Die Sicherheitslücke betrifft den Standard-Browser AOSP, der vor allem auf Handys mit einer älteren Android-Version standardmäßig installiert ist: Dieser soll eine gefährliche Sicherheitslücke enthalten, mit der private Daten ausgelesen werden können.
Rafay Baloch hatte herausgefunden, dass der Browser eine Lücke in der „Same Origin Policy“ enthält, die eine präparierte Webseite gezielt ausnutzen kann. Über diese Sicherheits-Lücke können Angreifer persönliche Daten eines Benutzers auslesen: Sie sollen per Javascript an Inhalte aus anderen geöffneten Browser-Tabs gelangen und so dort eventuell private Daten wie Emails, Kurznachrichten oder auch Passwörter ausspähen, aber auch Daten aus einem Cookie auslesen können, der eigentlich zu einer anderen Webseite gehört. Baloch hat den Fehler nach eigenen Angaben auf Handys der Marken Samsung, HTC, Sony und Motorola gefunden. Betroffen sein sollen vor allem ältere Android-Version, die entweder nicht aktualisiert wurden oder auf günstigeren Einsteiger-Handys installiert sind, die für neuere Versionen des Android-Betriebssystems nicht genug RAM oder Speicher besitzen – aus diesem Grund stellen die Herseteller oft kein Uodate auf neuere Android-Versionen zur Verfügung.
Einige einfache Beispiel-Codes zum Umgehen der „Same Origin Policy“ hat Rafay Baloch auf seiner Webseite gezeigt, auf der er den möglichen Angriff auf den Browser noch detaillierter erklärt.
Dieser Angriff soll theoretisch bei allen Android-Versionen vor 4.4.x möglich sein – das BSI geht aber davon aus, dass zumindest die Android-Versionen ab 4.2.1 von der Sicherheitslücke betroffen sind. Neuere Android-Versionen ab Version 4.4 nutzen statt dem AOSP-Browser den Chrome Browser von Google, der auf einer anderen Technik basiert und nicht von der Lücke betroffen ist. Wer sein Smartphone oder Tablet nicht auf eine neuere Android-Version updaten kann oder möchte, sollte stattdessen einen alternativen Browser installieren und nutzen.
Alternative Android-Browser:
Alternative Browser: Schutz vor Sicherheits-Lücke im Android-Browser
Virus-Warnung: Sicherheits-Lücke in Internet Explorer 6, 7 und 8Warnung mit dem Fire Fox BrowserBeim Einloggen in meinen Router, kommt immer ein Warnfenster.Ich weiß nun nicht ob es von Mozilla o...
Hardware sicher entfernen funktioniert nicht mehr.Die Hardware kann ich nicht mehr sicher entfernen und das Medium auswerfen.Auch beim Rechtsklick auf...
Tipp: "Sicher surfen trotz Android 4.3"heise.de hat Tipps für Nutzer älterer Android-Betriebssysteme (bis 4.3), um auch trotz der nicht m...
Android browser ohne Berechtigungenhi leute,gibt es für android einen browser,der ohne sonderberechtigungen auskommt?ich bin ja totale...
Hallo heute meldet das BSI eine Datenleckschwachstelle im Android Browser:TECHNISCHE WARNUNG TW-T14/...
