Android: Warnung vor schwerwiegender AOSP-Browser-Lücke

Google, Android, AOSP Bildquelle: Mobiflip
Eine schwerwiegende Sicherheitslücke in der Android Open Source Project-Version (AOSP) des Android-Browsers verunsichert derzeit viele Nutzer. Betroffen sind vor allem ältere Smartphones und Tablets, da Google seit Android 4.2 bzw. 4.4 nur noch die eigene mobile Chrome-Variante ausliefert. Bis die Lücke gestopft ist, wird die Nutzung eines alternativen Browsers empfohlen.

Lücke der Kategorie "Autsch!"

Bei der vom Sicherheitsforscher Rafay Baloch bereits Anfang des Monats entdeckten (via Ars Technica) Lücke handelt es sich um eine so genannte Same-Origin-Policy- Schwachstelle: Damit können bösartige bzw. entsprechend manipulierte Seiten JavaScript in andere Sites "einschummeln." Derartige JavaScripts können Cookies auslesen und Passwörter, Keyboard-Eingaben und sonstige Übermittlungsfelder abgreifen. Ars Technica meint kurz und bündig, dass man damit "praktisch alles" anstellen könne.

"Same Origin Policy" soll eigentlich dafür sorgen, dass Skripte nur Elemente lesen und verändern können, die ein und dieselbe Quelle haben. Das wird über diverse Faktoren ermittelt, darunter Protokoll, Domain und Port-Nummer. Mit der nun gefundenen Lücke lässt sich diese Vorgehensweise des Browsers jedoch aushebeln, was zu massiven Sicherheitsproblemen führen kann.

Man sollte betonen, dass hier der AOSP-Browser betroffen ist und nicht der Google-eigene mobile Chrome. Letzterer ist nicht anfällig, allerdings ist das auch von der eingesetzten OS-Version abhängig. Denn Google hat mit Android 4.2 begonnen, nur noch Chrome (bzw. Chromium) auszuliefern, allerdings wurde die Umstellung erst mit Android 4.4 abgeschlossen, da der AOSP-Browser "dazwischen" nach wie vor bei Web-Ansichten innerhalb von Apps zum Einsatz kam.

Unklarheit über die Anzahl tatsächlich betroffener Geräte

Wie viele Nutzer bzw. Android-Geräte tatsächlich noch mit der AOSP-Version des Browsers unterwegs sind, darüber gehen die Schätzungen auseinander: Ars Technica spricht von rund 40 bis 50 Prozent, andere Quellen nennen etwa 75 Prozent als potenziell gefährdet. Google hat - nachdem man die Lücke eigenen Angaben nach zunächst nicht reproduzieren konnte - einen Fix angekündigt, bis es soweit ist sollten Android-Nutzer wohl besser zu alternativen Browser-Apps greifen.

Download: Chrome 37 für Android: Stable-Update bringt Material Design Google, Android, AOSP Google, Android, AOSP Mobiflip
Diese Nachricht empfehlen
Kommentieren26
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden