Android: Bug in AOSP-Browser soll Angriffe über JavaScript ermöglichen
Ein dicker Bug im AOSP-Browser (CVE-2014-6041) von Android soll es ermöglichen, dass potentielle Angreifer vollen Zugriff auf den Browser bekommen und somit alle geöffneten Tabs inklusive der Session-Cookies auslesen können. Betroffen sind alle AOSP-Browser-Versionen vor Android 4.4. Während hierzulande sicher viele auf den mobilen Chrome-Browser oder andere Android-Browser setzen, gibt es eine ganze Reihe an Geräten, die mit einer AOSP-Version von Android ausgeliefert werden. Entdeckt wurde der Bug bereits am 1. September, Google äußerte sich bisher nicht dazu.
Die Lücke bezieht sich auf JavaScript. Entsprechend präpariert kann eine manipulierte Seite so das SOP (Same Origin Policy) Sicherheits-Feature des AOSP-Browsers umgehen. Die manipulierte Seite hat dann Zugriff auf alle Tabs / Fenster, die geöffnet sind. So können nicht nur die Inhalte ausgelesen werden, sondern auch eine Kopie des Session-Cookies gezogen werden, mit dem man dann die Session übernehmen kann.
Schützen kann man sich in diesem Fall relativ einfach, man muss nur einen anderen Browser als den des AOSP verwenden. Bedenkt man jedoch, welche Geräte mit einer betroffenen Version ausgeliefert werden, nämlich die im Niedrigpreis-Segment, die auch heute noch mit einer älteren Version von Android ausgeliefert werden, werden es viele Betroffene vermutlich nicht einmal mitbekommen. Details zum Bug findet Ihr bei rapid7, dort gibt es auch weiterführende Links zum Metasploit-Tool, mit dem sich der Bug testen lässt.
Wird geladen ...
Es ist doch aber nur ein Problem, wenn man den AOSP Browser auch benutzt. Oder?
Ich weiß, wir sind alle technik-affin, aber AOSP hätte man doch einmal erläutern können..
ist ja schön und gut, aber braucht relativ viel bis der Bug ausgenutzt werden kann. Erstens muss man den AOSP Browser benutzen (bei vielen gar nicht mehr installiert) und dann muss man auch noch auf eine zwiespältige Seite gehen die die Bug ausnutzt.
Gefällt mir gar nicht, ich benutze den AOSP Browser auf dem Nexus 5…
@Mike
Das ist der im Android Open Source Project enthaltene Browser. Mittlerweile installiert Google auf den Nexen selbst Chrome, aber in manchen ROMs hast du ihn, vor allem auch den auf AOSP aufsetzenden Custom-ROMs.
HTH
Damit das ein Problem für den User wird, muss er nicht nur eine Seite besuchen, die den Bug ausnutzt, sondern gleichzeitig auch im diesem selben Browser eine weitere Session (also irgendwas mit Login) geöffnet haben, die dann ausgespäht wird. Wenn man also „nur“ surft, kann und Login-relevante Dienste über entsprechende Apps zugreift, ist man gar nicht gefährdet.
Was natürlich den Bug oder Googles ausbleibende Reaktion nicht schöner macht.
@Troy: AOSP ist nicht nur Google.
AOSP ist dieses „Welt“ Icon oder ? Also nicht der Chrome….
@troy Die Engine des AOSP-Browsers wurde vor Android 4.4 (seitdem ist es Chromium) aber auch für alle Apps benutzt, die in HTML und Javascript programmiert wurden (z.B. Über Phonegap) statt nativ in Java und auch für alle nativen Apps, die für die Anzeige von HTML eine „WebView“ benutzen (z.B. Gmail für HTML-Mails). Besonders bei ersterem kann ja schnell so eine Situation entstehen.
Außerdem denke ich, dass auch die diversen eigenen Browser der Smartphone-Hersteller (Chrome ausgenommen) meist keine eigene Javascript-Engine haben, sondern auf dem AOSP-Browser basieren. Damit betrifft das dann nicht nur die Nexus und Billig-Smartphones, die eine AOSP-nahe Android-Version benutzen.
ASOP Browser sind gefühlte Auslaufmodelle alter Devices. Die Vorinstalliertheit und undeaktivierbarkeit nervt da. Er basiert aber nicht auf Chromium Open Source oder?!?