Abo
  • IT-Karriere:

Sicherheitslücke bei Android: AOSP-Browser soll über Javascript angreifbar sein

Wegen eines Fehlers in Androids AOSP-Browser soll es möglich sein, über eine präparierte Seite mit Javascript alle aktuellen Tabs und Cookies einsehen zu können. Betroffen sein sollen die Android-Versionen vor Kitkat - also viele Einsteiger- und Mittelklasse-Geräte.

Artikel veröffentlicht am ,
Der AOSP-Browser von Android hat offenbar ein Sicherheitsproblem.
Der AOSP-Browser von Android hat offenbar ein Sicherheitsproblem. (Bild: Tobias Költzsch/Golem.de)

Eine Sicherheitslücke im AOSP-Browser von Android ermöglicht es offenbar, dass Seiten mit Schadsoftware mittels Javascript auf Inhalte des Browsers zugreifen können. Entsprechend vorbereitete Seiten könnten alle geöffneten Tabs sowie die aktuell genutzten Cookies einlesen. Damit sind zahlreiche Missbrauchsszenarien denkbar, beispielsweise das Auslesen vertraulicher Daten, die in einem der Browser-Tabs geöffnet wurden.

Stellenmarkt
  1. Wilhelm Layher GmbH & Co. KG, Güglingen
  2. Phoenix Contact Identification GmbH, Villingen-Schwenningen

Entdeckt wurde die Sicherheitslücke laut einem Community-Beitrag im Forum von Rapid 7 bereits am 1. September 2014, bisher wurde der Fehler allerdings nicht sonderlich beachtet. Das könnte daran liegen, dass Nutzer mit dem AOSP-Browser eine speziell auf die Ausnutzung der Sicherheitslücke ausgerichtete Internetseite besuchen müssen. Hier würde dann über die Manipulation eines Javascript-URL-Handlers die Same-Origin-Policy des AOSP-Browsers ausgehebelt werden.

Über 70 Prozent der Nutzer theoretisch betroffen

Dies soll bei den Android-Versionen vor der aktuellen Version 4.4 funktionieren - welche immer noch von über 70 Prozent der Nutzer verwendet werden. Und nicht alle dieser Nutzer verwenden Chrome, insbesondere, da der AOSP-Browser schon seit längerem gut aussieht und eine Synchronisierung mit Chromes Lesezeichen ermöglicht. Zudem zeigt er Internetseiten meist deutlich ruckelfreier als Chrome an. Google selbst pflegt den AOSP-Browser mittlerweile nicht mehr, sondern setzt komplett auf Chrome - das von dem Fehler nicht betroffen ist.

Der AOSP-Browser wird gerade bei preiswerten Smartphones zunächst als Standardbrowser installiert und beispielsweise in der Schnellzugriffsleiste anstelle von Chrome angezeigt. Diese Smartphones laufen häufig mit Android-Versionen vor Kitkat, was zumindest die Grundvoraussetzung des Schadszenarios erfüllt.

Video mit zusätzlichen Erklärungen soll folgen

Die Autoren des Beitrags bei Rapid 7 erklären, dass sie aktuell noch testeten, wie relevant der Fehler tatsächlich sei - ihr erster Eindruck sei jedoch, dass es sich um ein durchaus gefährliches Szenario handele. Gegen Ende der Woche soll ein erklärendes Video veröffentlicht werden.



Anzeige
Hardware-Angebote
  1. 274,00€
  2. 127,99€ (Bestpreis!)
  3. 144,90€ + Versand
  4. täglich neue Deals bei Alternate.de

Lala Satalin... 17. Sep 2014

"All-new Safari browser!" ... Wie ich deren permanentes "all-new" hasse!

Lala Satalin... 17. Sep 2014

Hast du noch ein GT-I9000 oder wieso ruckelt Flash bei dir in Chrome/Firefox? oO


Folgen Sie uns
       


Asus Zenfone 6 - Test

Das Zenfone 6 fällt durch seine Klappkamera auf, hat aber auch abseits dieses Gimmicks eine Menge zu bieten, wie unser Test zeigt.

Asus Zenfone 6 - Test Video aufrufen
Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

    •  /