Android: Bug in AOSP-Browser soll Angriffe über JavaScript ermöglichen

16. September 2014 Kategorie: Android, Backup & Security, Google, geschrieben von:

Ein dicker Bug im AOSP-Browser (CVE-2014-6041) von Android soll es ermöglichen, dass potentielle Angreifer vollen Zugriff auf den Browser bekommen und somit alle geöffneten Tabs inklusive der Session-Cookies auslesen können. Betroffen sind alle AOSP-Browser-Versionen vor Android 4.4. Während hierzulande sicher viele auf den mobilen Chrome-Browser oder andere Android-Browser setzen, gibt es eine ganze Reihe an Geräten, die mit einer AOSP-Version von Android ausgeliefert werden. Entdeckt wurde der Bug bereits am 1. September, Google äußerte sich bisher nicht dazu.

android-beitrag

Die Lücke bezieht sich auf JavaScript. Entsprechend präpariert kann eine manipulierte Seite so das SOP (Same Origin Policy) Sicherheits-Feature des AOSP-Browsers umgehen. Die manipulierte Seite hat dann Zugriff auf alle Tabs / Fenster, die geöffnet sind. So können nicht nur die Inhalte ausgelesen werden, sondern auch eine Kopie des Session-Cookies gezogen werden, mit dem man dann die Session übernehmen kann.

Schützen kann man sich in diesem Fall relativ einfach, man muss nur einen anderen Browser als den des AOSP verwenden. Bedenkt man jedoch, welche Geräte mit einer betroffenen Version ausgeliefert werden, nämlich die im Niedrigpreis-Segment, die auch heute noch mit einer älteren Version von Android ausgeliefert werden, werden es viele Betroffene vermutlich nicht einmal mitbekommen. Details zum Bug findet Ihr bei rapid7, dort gibt es auch weiterführende Links zum Metasploit-Tool, mit dem sich der Bug testen lässt.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9407 Artikel geschrieben.