Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
2 Min Lesezeit 11 mal geteilt 42 Kommentare

Drei von vier Android-Geräten von Browser-Sicherheitslücke betroffen

Dank einer Lücke im AOSP-Browser sind alle Smartphones mit Android älter als KitKat unsicher. Beliebiger JavaScript-Code lässt sich bei ihnen mühelos einschleusen. Damit Sind Eure Daten und Eure Identität einfach zu stehlen.

Entertainment am Smartphone beim Joggen ist für mich...?

Wähle unverzichtbar oder egal.

VS
  • 744
    Stimmen
    Ooops! Etwas ist schiefgelaufen. Aktualisieren sollte helfen.
    unverzichtbar
  • 1146
    Stimmen
    Ooops! Etwas ist schiefgelaufen. Aktualisieren sollte helfen.
    egal
shutterstock 82383217 w3
Der AOSP-Browser ist lückenhaft und erlaubt Spionage und Identitätsklau. / © Pavel Ignatovshutterstock.com

Stellt Euch vor, eine Website könnte die Inhalte der anderen Websites lesen, die Ihr gerade geöffnet habt? Oder sie könnte Cookies und mit ihnen Eure Identität stehlen und unter Eurem Namen agieren. Privatsphäre und Datenschutz exisitiert auf drei von vier Android-Geräten nicht - wenn es nach Rafay Baloch geht.

Der pakistanische Sicherheits-Experte hatte am 1. September die Sicherheitslücke CVE-2014-6041 im Android-Standard-Browser festgestellt, oder zumindest in der Version desselben, die auf allen Geräten mit Android älter als Version 4.4 zum Einsatz kommt. Diese erlaubt es, die so genannte “Same Origin Policy” zu umgehen, die eigentlich sicherstellen soll, das mit Websites ausgelieferter JavaScript-Code nur Zugriff auf Elemente innerhalb derselben Website erhalten darf.

Google hatte schon länger den Support für den AOSP-Browser eingestellt und ihn durch Chrome als neuen Standard ersetzt. Trotzdem setzten etliche Nutzer nach wie vor auf den alten Browser. Nun sollte das letzte Argument zum Wechsel gekommen sein, sich nach einer Alternative umzuschauen.

Außerdem werden auch Webviews in Anwendungen in alten Android-Umgebungen mit der fehlerhaften Engine des AOSP-Browser gerendert. Erst mit KitKat hatte Google begonnen, die Web-Inhalte in Apps mit der Chromium-Engine zu rendern. Das macht insbesondere Drittanbieter-Browser unsicher, die ohne eigene Engine auskommen. 

Via: Metasploit Quelle: Rafay Boloch

Top-Kommentare der Community

42 Kommentare

Neuen Kommentar schreiben:
Zeige alle Kommentare
11 mal geteilt

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!