Abo
  • Services:
Anzeige
Der AOSP-Browser von Android hat offenbar ein Sicherheitsproblem.
Der AOSP-Browser von Android hat offenbar ein Sicherheitsproblem. (Bild: Tobias Költzsch/Golem.de)

Sicherheitslücke bei Android: AOSP-Browser soll über Javascript angreifbar sein

Wegen eines Fehlers in Androids AOSP-Browser soll es möglich sein, über eine präparierte Seite mit Javascript alle aktuellen Tabs und Cookies einsehen zu können. Betroffen sein sollen die Android-Versionen vor Kitkat - also viele Einsteiger- und Mittelklasse-Geräte.

Anzeige

Eine Sicherheitslücke im AOSP-Browser von Android ermöglicht es offenbar, dass Seiten mit Schadsoftware mittels Javascript auf Inhalte des Browsers zugreifen können. Entsprechend vorbereitete Seiten könnten alle geöffneten Tabs sowie die aktuell genutzten Cookies einlesen. Damit sind zahlreiche Missbrauchsszenarien denkbar, beispielsweise das Auslesen vertraulicher Daten, die in einem der Browser-Tabs geöffnet wurden.

Entdeckt wurde die Sicherheitslücke laut einem Community-Beitrag im Forum von Rapid 7 bereits am 1. September 2014, bisher wurde der Fehler allerdings nicht sonderlich beachtet. Das könnte daran liegen, dass Nutzer mit dem AOSP-Browser eine speziell auf die Ausnutzung der Sicherheitslücke ausgerichtete Internetseite besuchen müssen. Hier würde dann über die Manipulation eines Javascript-URL-Handlers die Same-Origin-Policy des AOSP-Browsers ausgehebelt werden.

Über 70 Prozent der Nutzer theoretisch betroffen

Dies soll bei den Android-Versionen vor der aktuellen Version 4.4 funktionieren - welche immer noch von über 70 Prozent der Nutzer verwendet werden. Und nicht alle dieser Nutzer verwenden Chrome, insbesondere, da der AOSP-Browser schon seit längerem gut aussieht und eine Synchronisierung mit Chromes Lesezeichen ermöglicht. Zudem zeigt er Internetseiten meist deutlich ruckelfreier als Chrome an. Google selbst pflegt den AOSP-Browser mittlerweile nicht mehr, sondern setzt komplett auf Chrome - das von dem Fehler nicht betroffen ist.

Der AOSP-Browser wird gerade bei preiswerten Smartphones zunächst als Standardbrowser installiert und beispielsweise in der Schnellzugriffsleiste anstelle von Chrome angezeigt. Diese Smartphones laufen häufig mit Android-Versionen vor Kitkat, was zumindest die Grundvoraussetzung des Schadszenarios erfüllt.

Video mit zusätzlichen Erklärungen soll folgen

Die Autoren des Beitrags bei Rapid 7 erklären, dass sie aktuell noch testeten, wie relevant der Fehler tatsächlich sei - ihr erster Eindruck sei jedoch, dass es sich um ein durchaus gefährliches Szenario handele. Gegen Ende der Woche soll ein erklärendes Video veröffentlicht werden.


eye home zur Startseite
Lala Satalin... 17. Sep 2014

"All-new Safari browser!" ... Wie ich deren permanentes "all-new" hasse!

Lala Satalin... 17. Sep 2014

Hast du noch ein GT-I9000 oder wieso ruckelt Flash bei dir in Chrome/Firefox? oO



Anzeige

Stellenmarkt
  1. MCM Klosterfrau Vertriebsgesellschaft mbH, Köln
  2. über Ratbacher GmbH, München
  3. über HRM CONSULTING GmbH, Köln
  4. Bosch Software Innovations GmbH, Waiblingen, Berlin


Anzeige
Spiele-Angebote
  1. (-40%) 29,99€
  2. (-80%) 5,99€
  3. (-60%) 15,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  2. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  3. Raumfahrt

    Europa bleibt im All

  4. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  5. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  6. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  7. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  8. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  9. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  10. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielen mit HDR ausprobiert: In den Farbtopf gefallen
Spielen mit HDR ausprobiert
In den Farbtopf gefallen
  1. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  2. HDR Wir brauchen bessere Pixel
  3. Andy Ritger Nvidia will HDR-Unterstützung unter Linux

Shadow Tactics im Test: Tolle Taktik für Fans von Commandos
Shadow Tactics im Test
Tolle Taktik für Fans von Commandos
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Total War Waldelfen stürmen Warhammer
  3. Künstliche Intelligenz Ultimative Gegner-KI für Civilization gesucht

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

  1. Re: Port umlenken

    hle.ogr | 20:32

  2. Re: Erinnert an diesen neuen US-Tarnkappen...

    burzum | 20:31

  3. Re: Äußerst fragewürdiger Einfluss

    gigman | 20:24

  4. Re: Login nur ueber key erlauben

    FreiGeistler | 20:21

  5. Re: ... die Pay-TV-Plattform Freenet TV ...

    Spaghetticode | 20:14


  1. 15:33

  2. 14:43

  3. 13:37

  4. 11:12

  5. 09:02

  6. 18:27

  7. 18:01

  8. 17:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel