Ein dicker Bug im AOSP-Browser (CVE-2014-6041) von Android soll es ermöglichen, dass potentielle Angreifer vollen Zugriff auf den Browser bekommen und somit alle geöffneten Tabs inklusive der Session-Cookies auslesen können. Betroffen sind alle AOSP-Browser-Versionen vor Android 4.4. Während hierzulande sicher viele auf den mobilen Chrome-Browser oder andere Android-Browser setzen, gibt es eine ganze Reihe an Geräten, die mit einer AOSP-Version von Android ausgeliefert werden. Entdeckt wurde der Bug bereits am 1. September, Google äußerte sich bisher nicht dazu.
Die Lücke bezieht sich auf JavaScript. Entsprechend präpariert kann eine manipulierte Seite so das SOP (Same Origin Policy) Sicherheits-Feature des AOSP-Browsers umgehen. Die manipulierte Seite hat dann Zugriff auf alle Tabs / Fenster, die geöffnet sind. So können nicht nur die Inhalte ausgelesen werden, sondern auch eine Kopie des Session-Cookies gezogen werden, mit dem man dann die Session übernehmen kann.
Schützen kann man sich in diesem Fall relativ einfach, man muss nur einen anderen Browser als den des AOSP verwenden. Bedenkt man jedoch, welche Geräte mit einer betroffenen Version ausgeliefert werden, nämlich die im Niedrigpreis-Segment, die auch heute noch mit einer älteren Version von Android ausgeliefert werden, werden es viele Betroffene vermutlich nicht einmal mitbekommen. Details zum Bug findet Ihr bei rapid7, dort gibt es auch weiterführende Links zum Metasploit-Tool, mit dem sich der Bug testen lässt.