• IT-Karriere:
  • Services:

Sicherheitslücke bei Android: AOSP-Browser soll über Javascript angreifbar sein

Wegen eines Fehlers in Androids AOSP-Browser soll es möglich sein, über eine präparierte Seite mit Javascript alle aktuellen Tabs und Cookies einsehen zu können. Betroffen sein sollen die Android-Versionen vor Kitkat - also viele Einsteiger- und Mittelklasse-Geräte.

Artikel veröffentlicht am ,
Der AOSP-Browser von Android hat offenbar ein Sicherheitsproblem.
Der AOSP-Browser von Android hat offenbar ein Sicherheitsproblem. (Bild: Tobias Költzsch/Golem.de)

Eine Sicherheitslücke im AOSP-Browser von Android ermöglicht es offenbar, dass Seiten mit Schadsoftware mittels Javascript auf Inhalte des Browsers zugreifen können. Entsprechend vorbereitete Seiten könnten alle geöffneten Tabs sowie die aktuell genutzten Cookies einlesen. Damit sind zahlreiche Missbrauchsszenarien denkbar, beispielsweise das Auslesen vertraulicher Daten, die in einem der Browser-Tabs geöffnet wurden.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Hannover
  2. WEINMANN Emergency Medical Technology GmbH & Co. KG, Hamburg

Entdeckt wurde die Sicherheitslücke laut einem Community-Beitrag im Forum von Rapid 7 bereits am 1. September 2014, bisher wurde der Fehler allerdings nicht sonderlich beachtet. Das könnte daran liegen, dass Nutzer mit dem AOSP-Browser eine speziell auf die Ausnutzung der Sicherheitslücke ausgerichtete Internetseite besuchen müssen. Hier würde dann über die Manipulation eines Javascript-URL-Handlers die Same-Origin-Policy des AOSP-Browsers ausgehebelt werden.

Über 70 Prozent der Nutzer theoretisch betroffen

Dies soll bei den Android-Versionen vor der aktuellen Version 4.4 funktionieren - welche immer noch von über 70 Prozent der Nutzer verwendet werden. Und nicht alle dieser Nutzer verwenden Chrome, insbesondere, da der AOSP-Browser schon seit längerem gut aussieht und eine Synchronisierung mit Chromes Lesezeichen ermöglicht. Zudem zeigt er Internetseiten meist deutlich ruckelfreier als Chrome an. Google selbst pflegt den AOSP-Browser mittlerweile nicht mehr, sondern setzt komplett auf Chrome - das von dem Fehler nicht betroffen ist.

Der AOSP-Browser wird gerade bei preiswerten Smartphones zunächst als Standardbrowser installiert und beispielsweise in der Schnellzugriffsleiste anstelle von Chrome angezeigt. Diese Smartphones laufen häufig mit Android-Versionen vor Kitkat, was zumindest die Grundvoraussetzung des Schadszenarios erfüllt.

Video mit zusätzlichen Erklärungen soll folgen

Die Autoren des Beitrags bei Rapid 7 erklären, dass sie aktuell noch testeten, wie relevant der Fehler tatsächlich sei - ihr erster Eindruck sei jedoch, dass es sich um ein durchaus gefährliches Szenario handele. Gegen Ende der Woche soll ein erklärendes Video veröffentlicht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. gratis
  2. (-20%) 47,99€ (Release April 2021)
  3. 15,49€

Lala Satalin... 17. Sep 2014

"All-new Safari browser!" ... Wie ich deren permanentes "all-new" hasse!

Lala Satalin... 17. Sep 2014

Hast du noch ein GT-I9000 oder wieso ruckelt Flash bei dir in Chrome/Firefox? oO


Folgen Sie uns
       


Preiswerte Notebooks im Test - Acer vs. Medion vs. Trekstor

Golem.de hat preiswerte Geräte von drei Herstellern getestet. Es treten an: Acer, Medion und Trekstor. Die Bedingung: Der Kaufpreis soll unter 400 Euro liegen.

Preiswerte Notebooks im Test - Acer vs. Medion vs. Trekstor Video aufrufen
Serien & Filme: Star Wars - worauf wir uns freuen können
Serien & Filme
Star Wars - worauf wir uns freuen können

Lange sah es so aus, als liege die Zukunft von Star Wars überwiegend im Kino. Seit dem Debüt von Disney+ und dem teils schlechten Abschneiden der neuen Filme hat sich das geändert.
Von Peter Osteried

  1. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf
  2. Star Wars Squadrons im Test Die helle und dunkle Seite der Macht
  3. Disney+ Erster Staffel-2-Trailer von The Mandalorian ist da

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

    •  /