Zero-Day-Lücke in Android-Browser ermöglicht Datendiebstahl

Der Sicherheitsforscher Rafay Baloch hat Anfang September in seinem Blog Details über eine Zero-Day-Lücke in Android veröffentlicht. Ein Angreifer kann demnach mithilfe einer manipulierten URL die Same-Origin-Richtlinie des Browsers der Android Open Source Platform (AOSP) umgehen und Inhalte beliebiger Websites auslesen. Bekannt wurde das Sicherheitsleck erst jetzt durch einen Eintrag im Metasploit-Blog der Sicherheitsfirma Rapid7.

„Das bedeutet, dass eine beliebige Website (sagen wir eine, die durch einen Spammer oder einen Spion kontrolliert wird), die Inhalte einer andere Website ausspähen kann“, schreibt Metasploit-Hacker Tod Beardsley. „Stellen Sie sich vor, Sie besuchen die Seite eines Angreifers, während ihr Webmail-Konto in einem anderen Fenster geöffnet ist – der Angreifer könnte Ihre E-Mail-Daten abfangen und das sehen, was Ihr Browser sieht. Schlimmer noch, er könnte eine Kopie Ihres Sitzungs-Cookies stehlen und ihre Browsersitzung vollständig übernehmen, und E-Mails in Ihrem Namen lesen und schreiben.“

Der Bug sei eine „Katastrophe“ für die Privatsphäre, so Beardsley weiter. Die Same-Origin-Richtlinie sei die Grundlage des Datenschutzes im Web und eine entscheidende Komponente der Sicherheit eines Browsers.

Google hat sich dem Blogeintrag zufolge bisher nicht zu der Schwachstelle geäußert. Beardsley beklagt zudem, dass bis zur Veröffentlichung seines Blogeintrags niemand in der Android-Security-Community der Sicherheitslücke irgendwelche Aufmerksamkeit geschenkt habe. Dadurch würde auch nach zwei Wochen immer noch an den genauen Auswirkungen der Sicherheitslücke geforscht.

Betroffen sind offenbar alle Android-Versionen vor 4.4 KitKat. KitKat wiederum hatte laut Googles eigener Statistik, die sich auf den einwöchigen Zeitraum bis 9. September bezieht, zuletzt einen Anteil von 24,5 Prozent. Damit wären rund 75 aller Android-Geräte, die auf Googles Marktplatz Play zugreifen, anfällig für die Zero-Day-Lücke.

Nutzer, die Googles namenlosen Android-Browser einsetzen, sollten bis zur Veröffentlichung eines Updates auf eine Alternative wie Google Chrome, Mozilla Firefox oder Opera umsteigen. Beardsley zufolge ist der AOSP-Browser, obwohl Google ihn schon vor einiger Zeit durch Chrome ersetzt hat, bei Nutzern immer noch sehr beliebt. Im Internet fänden sich zahlreiche Anleitungen, um den namenlosen Android-Browser auf Geräten zu installieren, die ab Werk mit Google Chrome ausgestattet seien.

Net Applications ermittelte im August für den Android-Browser in der Version 4.0 einen Anteil von 20,14 Prozent. Damit belegte er im vergangenen Monat Platz 2 hinter Safari 7 (29,63 Prozent) und vor Chrome 36 (10,15 Prozent).

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

6 Stunden ago

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

13 Stunden ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Tagen ago