Datendiebstahl über neu entdeckte Lücke im Android-Browser möglich

Rafay Baloch hat in seinem Blog auf eine bislöang ungepatchte Lücke in Android hingewiesen. Dem Sicherheitsforscher zufolge kann eine Angreifer darüber mittels einer manipulierten URL die Same-Origin-Richtlinie des Browsers der Android Open Source Platform (AOSP) umgehen. Allgemein bekannt wurde das bereits Anfang September von Baloch publizierte Leck allerdings erst jetzt durch einen Eintrag im Metasploit-Blog der Sicherheitsfirma Rapid7.

“Stellen Sie sich vor, Sie besuchen die Seite eines Angreifers, während ihr Webmail-Konto in einem anderen Fenster geöffnet ist – der Angreifer könnte Ihre E-Mail-Daten abfangen und das sehen, was Ihr Browser sieht. Schlimmer noch, er könnte eine Kopie Ihres Sitzungs-Cookies stehlen und ihre Browsersitzung vollständig übernehmen, und E-Mails in Ihrem Namen lesen und schreiben”, schreibt Metasploit-Hacker Tod Beardsley.

Der Bug sei eine “Katastrophe” für die Privatsphäre, so Beardsley weiter. Die Same-Origin-Richtlinie sei die Grundlage des Datenschutzes im Web und eine entscheidende Komponente der Sicherheit eines Browsers. Google hat sich bisher nicht zu der Schwachstelle geäußert. Beardsley kritisiert zudem, dass bis zur Veröffentlichung seines Blogeintrags zwei Wochen nach der Entdeckung immer noch niemand in der Android-Security-Community der Sicherheitslücke Aufmerksamkeit geschenkt habe.

Von der Schachstelle betroffen sind offenbar alle Android-Versionen vor 4.4. Nutzer, die Googles Android-Browser einsetzen, sollten bis zur Veröffentlichung eines Updates auf eine Alternative wie Google Chrome, Mozilla Firefox oder Opera umsteigen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de