Abo
  • Services:
Anzeige
Android-Browser hat gefährliches Sicherheitsleck
Android-Browser hat gefährliches Sicherheitsleck (Bild: Beck Diefenbach/Reuters)

Smartphones

Gefährliches Sicherheitsleck im Android-Browser

Android-Browser hat gefährliches Sicherheitsleck
Android-Browser hat gefährliches Sicherheitsleck (Bild: Beck Diefenbach/Reuters)

Im Webkit-Browser von Android befindet sich ein Sicherheitsloch, das für gefährliche Angriffe verwendet werden kann. Angreifer können Android-Anwendungen ohne Wissen des Nutzers installieren.

Im Android-Browser haben Forscher der Uni Saarland eine gefährliche Sicherheitslücke entdeckt. Die eigentliche Sicherheitslücke steckt in der View-Intent-Funktion des Android-Browsers. Im schlimmsten Fall können Angreifer darüber beliebige Applikationen auf einem fremden Gerät installieren. Dazu muss das Opfer dazu verleitet werden, eine Anwendung zu installieren, die versteckte Schadroutinen enthält. Angreifer missbrauchen dann View-Intent, indem sie über die Webversion des Android Market eine Anwendung installieren.

Anzeige

Dabei wird eine Anwendung nach Angaben der Forscher ohne Nachfrage auf dem Android-Gerät installiert. Die bei der Installation von Android-Anwendungen übliche Abfrage zu den angeforderten Berechtigungen erscheint nicht, der Nutzer erfährt also auch nicht, mit welchen Berechtigungen sich die Anwendung installiert.

In den vergangenen Monaten wurde wiederholt Schadsoftware über den Android Market verbreitet. Wenn ein Angreifer Besitzer eines Android-Geräts dazu bringt, eine entsprechend präparierte Webseite zu öffnen, kann dieser Schadsoftware über den Android Market installieren, ohne dass der Angegriffene das bemerkt.

Zudem kann das Sicherheitsloch im Android-Browser dazu missbraucht werden, vertrauliche Daten auszulesen. Dann ist keine Installation einer Anwendung erforderlich, es genügt der Besuch einer entsprechend präparierten Webseite mit dem Android-Browser.

Update ist in Arbeit

Das Sicherheitsloch haben die Forscher für Android 2.3.4 und Android 3.0.1 bestätigt. Sie vermuten, dass der Fehler auch vorherige Android-Versionen betrifft. Ende Juni 2011 hatten sie Google auf den Fehler hingewiesen und die Informationen zu der Sicherheitslücke nun veröffentlicht, nachdem Google angekündigt hatte, dass der Fehler in Android korrigiert worden ist. Wann Google ein Update mit der Fehlerkorrektur veröffentlicht, ist nicht bekannt.

Es ist allerdings davon auszugehen, dass Google den Fehler nur mit einem Update auf Android 2.3.5 beseitigen wird. Damit wird es noch Monate und Jahre dauern, bis die Sicherheitslücke in allen verwendeten Android-Smartphones beseitigt wird. Obwohl bereits recht viele Smartphones mit Gingerbread alias Android 2.3 laufen, haben nur die wenigsten Geräte bislang ein Update auf das ganz aktuelle Android 2.3.4 erhalten.

Nachtrag vom 5. August 2011, 19:02 Uhr

In der ursprünglichen Artikelversion fehlte der Hinweis darauf, dass ein Opfer eine Anwendung mit Schadroutine installieren muss. Diese Angabe wurde nachgefügt.


eye home zur Startseite
Netspy 11. Aug 2011

Bei dir weiß man echt nicht, ob man lachen oder weinen soll.

Netspy 06. Aug 2011

Ach, du darfst nörgeln (deine Anspielung war ja nichts anderes) und ich nicht?

ip (Golem.de) 05. Aug 2011

danke für den Hinweis. Der Fehler im Artikel wurde korrigiert.


Sebbis Blog / 05. Aug 2011



Anzeige

Stellenmarkt
  1. WALHALLA Fachverlag, Regensburg
  2. BG-Phoenics GmbH, München
  3. Comline AG, Dortmund
  4. über Hanseatisches Personalkontor Bremen, Bremen


Anzeige
Hardware-Angebote
  1. 699€

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  2. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  3. FTTH

    CDU für Verkauf der Telekom-Aktien

  4. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  5. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  6. Fahrdienst

    London stoppt Uber, Protest wächst

  7. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  8. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  9. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  10. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe

Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Security Nest stellt komplette Alarmanlage vor
  2. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  3. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht

Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Apple iOS 11 Wer WLAN und Bluetooth abschaltet, benutzt es weiter
  2. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  3. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS

  1. kein überraschung ...

    blaub4r | 19:51

  2. Erfahrungen mit LoRa?

    Eheran | 19:48

  3. Re: "IT-News für Profis"-Bashing in 3,2,1...

    HorkheimerAnders | 19:45

  4. Re: Selbstgemachtes Problem

    bombinho | 19:43

  5. Opps

    slead | 19:36


  1. 19:04

  2. 15:18

  3. 13:34

  4. 12:03

  5. 10:56

  6. 15:37

  7. 15:08

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel