Categories: BrowserWorkspace

Sicherheitslücken in Mobilbrowsern Dolphin und Mercury entdeckt

Ein Sicherheitsforscher weist auf neue Schwachstellen in den Android-Versionen der Mobilbrowser Dolphin und Mercury hin. Angreifer könnten dadurch beliebige Lese- sowie Schreib-Operationen im App-Verzeichnis durchführen und im Fall von Dolphin auch aus der Ferne Code ausführen.

Entdecker der Sicherheitslücken ist Benjamin Watson, der unter dem Namen Rotlogix bloggt. Ihm zufolge ist es die hochgradige Anpassbarkeit, die den zwischen 50 und 100 Millionen Mal aus Google Play heruntergeladenen Dolphin Browser der Firma Mobotap anfällig macht.

Neue Themes lädt Dolphin nämlich per HTTP als ZIP-Datei mit der Erweiterung .DWP. Mit einem einfachen Skript kann der Download abgefangen und durch ein bösartiges Theme ersetzt werden, das auf alle Dateien im Verzeichnis Dolphins zugreifen und dort auch schreiben könnte.

Ein Angreifer, der so weit kommt, kann nun die Entkomprimierungswerkzeuge des Browsers ersetzen – durch eine eigene Library statt der des Browsers, die libdolphin.so heißt. Dies bereitet den Weg fürs Ausführen von beliebigem Code.

Anders lässt sich der Browser Mercury für Android angreifen, dessen Downloadzahl bei Googe Play zwischen 500.000 und einer Million liegt und dessen Hersteller sich iLegendSoft nennt. Seine Funktion Wi-Fi Transfer ist verwundbar, die einen Online-Dateiaustausch ermöglicht.

Der Angriff kann über eine Verkettung von Anfälligkeiten erfolgen – eine unsichere Intent-URI-Implementierung und eine Path-Traversal-Schwachstelle in Verbindung mit einem angepassten Webserver. Der Angreifer könnte dadurch Dateien ins Browserverzeichnis schreiben oder existierende verändern.

Nutzern der beiden Browser empfiehlt Watson, vorerst auf andere Browser auszuweichen. Die jüngste Dolphin-Version stammt inzwischen vom 24. August und könnte bereits einen Patch beinhalten. Auf der Herstellerwebsite findet sich dazu kein Hinweis. Die verwundbare Version datierte vom 27. Juli. Der neuste Mercury-Browser vom 17. August muss hingegen definitiv als anfällig gelten.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.