(Bild: Berlin Pics / pixelio.de)
Wie kürzlich bekannt wurde, gibt es zwei Sicherheitslücken im Android Browser, die darauf abzielen Javascript Code durch nicht privilegierte Apps in beliebige Webseiten / Domain-Aufrufe einzuschleusen. Hierdurch wird es bspw. möglich, Cookies von anderen, als der aufgerufenen Website, auszulesen.
So könnten zum Beispiel Facebook Cookies ausgelesen und auf diesem Weg der betreffende Facebook Account kompromittiert werden. Entdeckt wurden diese Lücken von IBM Forschern.
Das Prinzip der ersten Verwundbarkeit, der wohl neben E-Mail am häufigsten genutzten Funktionalität, beruht darauf, die maximale Anzahl an Browserfenstern mit einem Android – Browser zu öffnen und dann eine Javascript URL aufzurufen. Der darin enthaltene Code wird im Kontext der letzten geöffneten Seite ausgeführt, was dann bspw. zu oben bereits genannten Möglichkeiten führt.
Bei der zweiten Verwundbarkeit wird es mit Hilfe eines etwas kniffligeren Timings, zwischen dem Aufruf der Zielseite und kurz danach erfolgendem Aufruf einer Javacript-URL, möglich, den gleichen Effekt zu erzielen. Wieder wird das Javascript im Kontext der zuvor geöffneten Seite ausgeführt. Miteinander betrachtet, ist das natürlich kein allzu schönes Szenario. Das wird sich auch Google gedacht haben und hat bereits nachgebessert. Nach Angabe der Entdecker allerdings bisher nur die Android-Versionen 2.3.5, sowie 3.2. Weiter heißt es, dass mindestens die Versionen 2.3.4 sowie 3.1 betroffen seien. Es könne jedoch nicht ausgeschlossen werden, dass auch frühere Versionen von dieser Sicherheitslücke betroffen seien.
Ein Proof of Concept wurde in einem Paper der Entdecker, zusammen mit genaueren Beschreibung des Mechanismus, veröffentlicht.
(Wir möchten hier aber aus vielleicht verständlichen Gründen auf die Publizierung dieses Papieres verzichten)
Man solle seine Geräte rasch auf den neuesten Stand bringen, sofern der Hersteller ein Update anbiete. Der letzte Satz klingt fast schon ein wenig sarkastisch, genauso wie ein Satz den Heise in einer, am späten Nachmittag des 4.08.2011 veröffentlichten, Meldung zu dieser Entdeckung schrieb.
Zitat Heise: „Dazu müsste der Angreifer seine App an Googles Kontrollen vorbei in den Android Market schleusen, oder sie Android-Nutzern als APK-Datei am Market vorbei anbieten.“
Liebe Heise Redakteure, bei Google gibt es keine Kontrolle der Apps, die in den Market gelangen. Das hätte, wenn es nicht von Heise stammen sollte, zumindest korrigierend erwähnt werden sollen.
Es bleibt nun einerseits abzuwarten welche Android-Versionen wirklich noch von dieser Sicherheitslücke betroffen sind und andererseits, wie rasch und flexibel Google, bzw. die einzelnen Hersteller und Provider, auf diese nicht ganz ungefährliche Sicherheitslücke reagieren werden. Es wäre zu wünschen, dass ein rasches Update aller betroffenen Versionen einerseits und die rasche Adaptierung ggf. modifizierter Varianten die im Umlauf sind stattfindet.
Quellen: OWASP, Watchfire Blog, Heise
Tobias B.
Jetzt ist die Frage ist das Betriebssystem teil des gekauften Gerätes und fällt es somit unter die Gewährleistungspflicht des Herstellers?