Zero-Day-Lücke in Android-Browser ermöglicht Datendiebstahl

Ein Angreifer kann mit einer manipulierten URL die Same-Origin-Richtlinie des Browsers umgehen. Dadurch erhält er Zugriff auf alle Inhalte anderer Browserfenster. Betroffen sind alle Android-Versionen vor 4.4 KitKat.

Der Sicherheitsforscher Rafay Baloch hat Anfang September in seinem Blog Details über eine Zero-Day-Lücke in Android veröffentlicht. Ein Angreifer kann demnach mithilfe einer manipulierten URL die Same-Origin-Richtlinie des Browsers der Android Open Source Platform (AOSP) umgehen und Inhalte beliebiger Websites auslesen. Bekannt wurde das Sicherheitsleck erst jetzt durch einen Eintrag im Metasploit-Blog der Sicherheitsfirma Rapid7.

(Bild: ZDNet.com)

„Das bedeutet, dass eine beliebige Website (sagen wir eine, die durch einen Spammer oder einen Spion kontrolliert wird), die Inhalte einer andere Website ausspähen kann“, schreibt Metasploit-Hacker Tod Beardsley. „Stellen Sie sich vor, Sie besuchen die Seite eines Angreifers, während ihr Webmail-Konto in einem anderen Fenster geöffnet ist – der Angreifer könnte Ihre E-Mail-Daten abfangen und das sehen, was Ihr Browser sieht. Schlimmer noch, er könnte eine Kopie Ihres Sitzungs-Cookies stehlen und ihre Browsersitzung vollständig übernehmen, und E-Mails in Ihrem Namen lesen und schreiben.“

Der Bug sei eine „Katastrophe“ für die Privatsphäre, so Beardsley weiter. Die Same-Origin-Richtlinie sei die Grundlage des Datenschutzes im Web und eine entscheidende Komponente der Sicherheit eines Browsers.

Google hat sich dem Blogeintrag zufolge bisher nicht zu der Schwachstelle geäußert. Beardsley beklagt zudem, dass bis zur Veröffentlichung seines Blogeintrags niemand in der Android-Security-Community der Sicherheitslücke irgendwelche Aufmerksamkeit geschenkt habe. Dadurch würde auch nach zwei Wochen immer noch an den genauen Auswirkungen der Sicherheitslücke geforscht.

Betroffen sind offenbar alle Android-Versionen vor 4.4 KitKat. KitKat wiederum hatte laut Googles eigener Statistik, die sich auf den einwöchigen Zeitraum bis 9. September bezieht, zuletzt einen Anteil von 24,5 Prozent. Damit wären rund 75 aller Android-Geräte, die auf Googles Marktplatz Play zugreifen, anfällig für die Zero-Day-Lücke.

Nutzer, die Googles namenlosen Android-Browser einsetzen, sollten bis zur Veröffentlichung eines Updates auf eine Alternative wie Google Chrome, Mozilla Firefox oder Opera umsteigen. Beardsley zufolge ist der AOSP-Browser, obwohl Google ihn schon vor einiger Zeit durch Chrome ersetzt hat, bei Nutzern immer noch sehr beliebt. Im Internet fänden sich zahlreiche Anleitungen, um den namenlosen Android-Browser auf Geräten zu installieren, die ab Werk mit Google Chrome ausgestattet seien.

Net Applications ermittelte im August für den Android-Browser in der Version 4.0 einen Anteil von 20,14 Prozent. Damit belegte er im vergangenen Monat Platz 2 hinter Safari 7 (29,63 Prozent) und vor Chrome 36 (10,15 Prozent).

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Browser, Google, Mobile, Privacy

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

9 Kommentare zu Zero-Day-Lücke in Android-Browser ermöglicht Datendiebstahl

Kommentar hinzufügen
  • Am 17. September 2014 um 8:20 von Patrick

    Und wieder 75% Betroffene, und Google tut nix. Ich werde wohl nun endgültig von meinem Androiden Abschied nehmen.

    • Am 17. September 2014 um 9:32 von Apple-Lügen

      So wie leider auch 98% aller iPhone und iPad User. Die glauben bedingungslos den Lügen von Apple so sehr das ihr iOS-Betriebssystem das sicherste der Welt ist sodaß sie noch nicht einmal ein sicheres PW anlegen. So ist es eben in dieser Welt. Alle sind sehr bequem und machen möglichst nichts und wenn es schief geht sind selbstverständlich immer die anderen dran Schuld. Außer bei Apple. Da ist immer der User dran schuld.

      • Am 17. September 2014 um 15:02 von Tom

        Wieso Password? Hier geht es darum, dass jemand ALLE Daten des Browesers auslesen, und die Kontrolle übernehmen kann. Wehe dem, der nebenher im zweiten Fenster Banking macht, der hat verloren. Und Google scheint das nicht zu interessieren.

        Es ist wohl so, wie neulich jemand bemerkte: Android ist ok zum spielen und für unwichtige Dinge, aber Banking und kritische Dinge sollte man definitiv nicht wagen.

    • Am 17. September 2014 um 15:00 von Tom

      Komisch, dass hierzu vielen Kommentatoren nichts einfällt. Ausser einem, der aber unsachlich argumentiert. Dabei ,üsste es doch einen Aufschrei geben, weil Google ganz offensichtlich nichts getan, und geschlafen hat. Mir ist so, als ob neulich bei Apple einige hier beim Find my Phone Thema ganz entschieden lauter waren. Aber klar. Ich beobachte dieses Theater hier seit langer Zeit, und ganz offensichtlich haben hier einige ganz klare Interessen, wenn es um Apple geht, und ganz andere Interessen, wenn es um Google und Android geht. Irgendwie komisch, insbesondere, wenn man dann die Kommentare liest, die nur so von Unwissenheit strotzen. Siehe den zweiten Kommentar hier zu diesem Artikel. Da ist ja nun nix wahr, und ganz offensichtlich versteht jemand nicht, wie diskutiert wird.

  • Am 17. September 2014 um 15:07 von @Punisher

    Einmal wage ich noch einen Versuch einer ernsten Diskussion: dieser Bug ist doch, alle Grabenkriege mal ignorierend, ein echt kritischer Bug? (Und ohne unken zu wollen: dass es wieder alle pre-4.4er erwischt, ist nicht das erste Mal.)

    Vermute mal, dass Google bereits an einem Bugfix arbeitet, aber werden alle pre-4.4er davon etwas haben? Im Prinzip sollen ja nun Sicherheitsupdates zentral von Google aufgespielt werden.

    Meinst Du, dass der neue Mechanismus auch bei einem solchen Bug greift? Dann hieße es ja eigentlich nur warten auf das Bugfix, und dieses automatisch einspielen lassen.

    Was meinst Du?

    • Am 17. September 2014 um 18:07 von punisher

      Du tust so, als ob man sich nicht mit mir unterhalten könnte…
      Das was Google hier abliefert ist eine Katastrophe, ohne Zweifel.

      Und zu den Updates sage ich immer wieder, man kann das nicht 1:1 mit ios vergleichen. Androiden im Mittelsegment und Einsteigerandroiden werden von anderen Generationen und in armen Ländern gekauft. Da geht keiner non stop ins Internet,geschweige denn betreibt da jeder online banking. Die Leute telefonieren und simsen eventuell damit. Deswegen sind die Statistiken mit Androidversionen mit vorsichtig zu genießen. IPhones hingegen haben fast nur Kinder, Jugendliche, „Fans“ und Geschäftsleute wie mcharry (lol).
      Da ist klar, das es mehr updaten ;)

      Ob daran gearbeitet wird, weiß ich nicht und wie es auf die Geräte kommt weiß ich auch nicht. Ich denke es wird ein update des Browsers geben.

      • Am 17. September 2014 um 19:27 von Ja

        Dann deckt sich unsere Sicht ja weitgehend. Letztendlich kochen sie alle nur mit Wasser, und wie ich häufiger sagte: Bugs wird es immer geben, wenn mehr als eine Programmzeile vorhanden ist. Die meisten Bugs sind ja auch eher lästig bzw. nervig. Wenn aber ein kritischer Bug bekannt wird, dann muss es schnellstmöglich ein Bugfix geben, egal, ob bei Android, iOS, Win Phone oder die anderen (Blackberry OS, Firefox OS, etc.). Und, nicht provokativ gemeint, durch die geringe Fragmentierung haben iOS, Blackberry und Win Phone gegenüber Android dann doch Vorteile. So, wie es aussieht, dürfte Google da aufholen, bzw. ähnlichen Standart bieten können, aber eben nur die direkten Sicherheits Updates betreffend. Da der ältere Browser betroffen ist, der ja bereits in 4.4 ersetzt wurde, ist unklar, ob alle eine Aktualisierung erhalten werden. Da es ein kritischer Bug ist, dürfte Google aber eine Ausnahme machen – sie wären blöd, wenn nicht.

        • Am 18. September 2014 um 6:44 von punisher

          Ein direktes App-update wäre soweit auch von Vorteil, da man einen Hinweis in der Benachrichtigungsleiste bekommt und es somit zu einer weiteren Verbreitung führen würde.

          • Am 21. September 2014 um 8:52 von Ja

            Korrekt. Es sollte nur mal kommen … drei Tage vorbei, und von Gogle noch immer kein Statement – ausser dass Silver verschoben wird.

            Klingt nicht so, als würden sie Überstunden schieben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *