Zero-Day-Lücke in Android-Browser ermöglicht Datendiebstahl

Der Sicherheitsforscher Rafay Baloch hat Anfang September in seinem Blog Details über eine Zero-Day-Lücke in Android veröffentlicht. Ein Angreifer kann demnach mithilfe einer manipulierten URL die Same-Origin-Richtlinie des Browsers der Android Open Source Platform (AOSP) umgehen und Inhalte beliebiger Websites auslesen. Bekannt wurde das Sicherheitsleck erst jetzt durch einen Eintrag im Metasploit-Blog der Sicherheitsfirma Rapid7.

„Das bedeutet, dass eine beliebige Website (sagen wir eine, die durch einen Spammer oder einen Spion kontrolliert wird), die Inhalte einer andere Website ausspähen kann“, schreibt Metasploit-Hacker Tod Beardsley. „Stellen Sie sich vor, Sie besuchen die Seite eines Angreifers, während ihr Webmail-Konto in einem anderen Fenster geöffnet ist – der Angreifer könnte Ihre E-Mail-Daten abfangen und das sehen, was Ihr Browser sieht. Schlimmer noch, er könnte eine Kopie Ihres Sitzungs-Cookies stehlen und ihre Browsersitzung vollständig übernehmen, und E-Mails in Ihrem Namen lesen und schreiben.“

Der Bug sei eine „Katastrophe“ für die Privatsphäre, so Beardsley weiter. Die Same-Origin-Richtlinie sei die Grundlage des Datenschutzes im Web und eine entscheidende Komponente der Sicherheit eines Browsers.

Google hat sich dem Blogeintrag zufolge bisher nicht zu der Schwachstelle geäußert. Beardsley beklagt zudem, dass bis zur Veröffentlichung seines Blogeintrags niemand in der Android-Security-Community der Sicherheitslücke irgendwelche Aufmerksamkeit geschenkt habe. Dadurch würde auch nach zwei Wochen immer noch an den genauen Auswirkungen der Sicherheitslücke geforscht.

Betroffen sind offenbar alle Android-Versionen vor 4.4 KitKat. KitKat wiederum hatte laut Googles eigener Statistik, die sich auf den einwöchigen Zeitraum bis 9. September bezieht, zuletzt einen Anteil von 24,5 Prozent. Damit wären rund 75 aller Android-Geräte, die auf Googles Marktplatz Play zugreifen, anfällig für die Zero-Day-Lücke.

Nutzer, die Googles namenlosen Android-Browser einsetzen, sollten bis zur Veröffentlichung eines Updates auf eine Alternative wie Google Chrome, Mozilla Firefox oder Opera umsteigen. Beardsley zufolge ist der AOSP-Browser, obwohl Google ihn schon vor einiger Zeit durch Chrome ersetzt hat, bei Nutzern immer noch sehr beliebt. Im Internet fänden sich zahlreiche Anleitungen, um den namenlosen Android-Browser auf Geräten zu installieren, die ab Werk mit Google Chrome ausgestattet seien.

Net Applications ermittelte im August für den Android-Browser in der Version 4.0 einen Anteil von 20,14 Prozent. Damit belegte er im vergangenen Monat Platz 2 hinter Safari 7 (29,63 Prozent) und vor Chrome 36 (10,15 Prozent).

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de