Tag: Sicherheitslücke

AOSP
Große Sicherheitslücke im Google Android-Browser Wie unlängst bekannt wurde, gibt es ein bislang ungestopftes Datenleck im Android Open Source Project Browser (kurz: AOSP). Dieser ist auf allen Android-Versionen vor KitKat vorinstalliert und wird von vielen Nutzern deswegen als Standard-Browser genutzt. Bis jetzt gibt es außer der Nutzung anderer Browser noch keine Lösung. Die nun bekannt gewordene Lücke bietet Cyber-Kriminellen die Möglichkeit, Nutzerdaten, wie zum Beispiel Sessioncookies und Ortungsdaten, abzurufen. Das soll eigentlich durch die Same-Origin-Policy, des Sicherheitsfeatures des Browsers, verhindert werden. Wie der IT-Experte Rafay Baloch aber nun aufdeckte, lässt sich diese mittels eines Javascripts geschickt umgehen (CVE-2014-6041). Das gelingt dem Angreifer, in dem der User eine von jenem präparierte, bösartige Seite besucht, was ihm nun die Möglichkeit bietet, alle Daten aus anderen geöffneten Tabs zu lesen. Solche Seiten lassen inzwischen durch das Metasploit-Tool per Knopfdruck generieren. Das könnte zum Beispiel bedeuten, dass er so über das Auslesen von Cookies und Sessiondaten Zugang zu Webmail-, Online-Banking und anderen hochsensiblen Daten erhält und die Sitzungen übernehmen kann. Sollte der Nutzer sein Passwort via eines Cookies gespeichert haben, könnte der Angreifer diese auch zu einem späteren Zeitpunkt weiterverwenden. Google hat bislang zu dem Bug noch keine Stellungnahme genommen, ob und wann dieser repariert wird ist noch offen, da der Software-Riese seit der neuen Android Version 4.4 (KitKat) auf den Google Chrome Browser setzt und keine Updates für ältere Versionen mehr bereitstellt. Dennoch werden ältere Geräte und Smartphones aus dem Einsteiger- und Mittelpreis-Segment vermehrt mit älteren Versionen des Betriebssystems ausgeliefert. Nahezu 75% der Android-Geräten zählen in diesen Bereich, alle Nutzer dieser Geräte sind also potenziell gefährdet. Schützen kann man sich zunächst nur, in dem man auf alternative Browser wie zum Beispiel Firefox, Opera, Dolphin oder eben Chrome umsteigt.   Vor 3 Jahren