• IT-Karriere:
  • Services:

Sicherheitslücke bei Android: AOSP-Browser soll über Javascript angreifbar sein

Wegen eines Fehlers in Androids AOSP-Browser soll es möglich sein, über eine präparierte Seite mit Javascript alle aktuellen Tabs und Cookies einsehen zu können. Betroffen sein sollen die Android-Versionen vor Kitkat - also viele Einsteiger- und Mittelklasse-Geräte.

Artikel veröffentlicht am ,
Der AOSP-Browser von Android hat offenbar ein Sicherheitsproblem.
Der AOSP-Browser von Android hat offenbar ein Sicherheitsproblem. (Bild: Tobias Költzsch/Golem.de)

Eine Sicherheitslücke im AOSP-Browser von Android ermöglicht es offenbar, dass Seiten mit Schadsoftware mittels Javascript auf Inhalte des Browsers zugreifen können. Entsprechend vorbereitete Seiten könnten alle geöffneten Tabs sowie die aktuell genutzten Cookies einlesen. Damit sind zahlreiche Missbrauchsszenarien denkbar, beispielsweise das Auslesen vertraulicher Daten, die in einem der Browser-Tabs geöffnet wurden.

Stellenmarkt
  1. Der Polizeipräsident in Berlin, Berlin
  2. über duerenhoff GmbH, Hamburg

Entdeckt wurde die Sicherheitslücke laut einem Community-Beitrag im Forum von Rapid 7 bereits am 1. September 2014, bisher wurde der Fehler allerdings nicht sonderlich beachtet. Das könnte daran liegen, dass Nutzer mit dem AOSP-Browser eine speziell auf die Ausnutzung der Sicherheitslücke ausgerichtete Internetseite besuchen müssen. Hier würde dann über die Manipulation eines Javascript-URL-Handlers die Same-Origin-Policy des AOSP-Browsers ausgehebelt werden.

Über 70 Prozent der Nutzer theoretisch betroffen

Dies soll bei den Android-Versionen vor der aktuellen Version 4.4 funktionieren - welche immer noch von über 70 Prozent der Nutzer verwendet werden. Und nicht alle dieser Nutzer verwenden Chrome, insbesondere, da der AOSP-Browser schon seit längerem gut aussieht und eine Synchronisierung mit Chromes Lesezeichen ermöglicht. Zudem zeigt er Internetseiten meist deutlich ruckelfreier als Chrome an. Google selbst pflegt den AOSP-Browser mittlerweile nicht mehr, sondern setzt komplett auf Chrome - das von dem Fehler nicht betroffen ist.

Der AOSP-Browser wird gerade bei preiswerten Smartphones zunächst als Standardbrowser installiert und beispielsweise in der Schnellzugriffsleiste anstelle von Chrome angezeigt. Diese Smartphones laufen häufig mit Android-Versionen vor Kitkat, was zumindest die Grundvoraussetzung des Schadszenarios erfüllt.

Video mit zusätzlichen Erklärungen soll folgen

Die Autoren des Beitrags bei Rapid 7 erklären, dass sie aktuell noch testeten, wie relevant der Fehler tatsächlich sei - ihr erster Eindruck sei jedoch, dass es sich um ein durchaus gefährliches Szenario handele. Gegen Ende der Woche soll ein erklärendes Video veröffentlicht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Lala Satalin... 17. Sep 2014

"All-new Safari browser!" ... Wie ich deren permanentes "all-new" hasse!

Lala Satalin... 17. Sep 2014

Hast du noch ein GT-I9000 oder wieso ruckelt Flash bei dir in Chrome/Firefox? oO


Folgen Sie uns
       


Android Smartphone als Webcam nutzen - Tutorial

Wir erklären in einem kurzen Video, wie sich das Smartphone für Videokonferenzen unter Windows nutzen lässt.

Android Smartphone als Webcam nutzen - Tutorial Video aufrufen
Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
Energiewende
Wie die Begrünung der Stahlindustrie scheiterte

Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
Eine Recherche von Hanno Böck

  1. Wetter Warum die Klimakrise so deprimierend ist

5G: Nokias und Ericssons enge Bindungen zu Chinas Führung
5G
Nokias und Ericssons enge Bindungen zu Chinas Führung

Nokia und Ericsson betreiben viel Forschung und Entwicklung zu 5G in China. Ein enger Partner Ericssons liefert an das chinesische Militär.
Eine Recherche von Achim Sawall

  1. Quartalsbericht Ericsson mit Topergebnis durch 5G in China
  2. Cradlepoint Ericsson gibt 1,1 Milliarden Dollar für Routerhersteller aus
  3. Neben Huawei Telekom wählt Ericsson als zweiten 5G-Ausrüster

SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
SSD vs. HDD
Die Zeit der Festplatte im Netzwerkspeicher läuft ab

SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
Ein Praxistest von Oliver Nickel

  1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler

    •  /