Gefährliches Sicherheitsleck im Android-Browser

News vom 05.08.2011 um 17:56 Uhr von quercus

  1. AndroidSecurity.png
    Wieder gibt es Sicherheitslöcher bei Android selbst. Diesesmal befindet sich im Webkit-Browser von Android ein Sicherheitsloch, das für gefährliche Angriffe verwendet werden kann. Der Besuch einer Webseite kann dazu missbraucht werden, um Android-Anwendungen ohne Wissen des Nutzers zu installieren.

    Forscher der Uni Saarland haben diese Sicherheitslücke entdeckt. Als Verursacher wird die View-Intent-Funktion des Android-Browsers genannt. "Angreifer" können darüber beliebige Applikationen auf einem fremden Gerät installieren. Man kann View-Intent insofern missbrauchen, indem sie über die Webversion des Android Market eine Anwendung installieren. Dabei wird eine Anwendung nach Angaben der Forscher ohne Nachfrage auf dem Android-Gerät installiert. Die bei der Installation von Android-Anwendungen übliche Abfrage zu den angeforderten Berechtigungen erscheint nicht, der Nutzer erfährt also auch nicht, mit welchen Berechtigungen sich die Anwendung installiert.

    Wie wir bereits berichteten, wurde in den vergangenen Monaten wiederholt Schadsoftware über den Android Market verbreitet. Wenn ein Angreifer Besitzer eines Android-Geräts dazu bringt, eine entsprechend präparierte Webseite zu öffnen, kann dieser Schadsoftware über den Android Market installieren, ohne dass der Angegriffene das bemerkt. Klarerweise kann Zudem das Sicherheitsloch im Android-Browser dazu missbraucht werden, vertrauliche Daten auszulesen. Dann ist keine Installation einer Anwendung erforderlich, es genügt der Besuch einer entsprechend präparierten Webseite mit dem Android-Browser.

    Das Sicherheitsloch haben die Forscher für Android 2.3.4 und Android 3.0.1 bestätigt. Sie vermuten, dass der Fehler auch vorherige Android-Versionen betrifft. Ende Juni 2011 hatten sie Google auf den Fehler hingewiesen und die Informationen zu der Sicherheitslücke nun veröffentlicht, nachdem Google angekündigt hatte, dass der Fehler in Android korrigiert worden ist. Wann Google ein Update mit der Fehlerkorrektur veröffentlicht, ist nicht bekannt.
    Es ist allerdings davon auszugehen, dass Google den Fehler nur mit einem Update auf Android 2.3.5 beseitigen wird. Damit wird es noch Monate und Jahre dauern, bis die Sicherheitslücke in allen verwendeten Android-Smartphones beseitigt wird.

    Obwohl bereits recht viele Smartphones mit Gingerbread alias Android 2.3 laufen, haben nur die wenigsten Geräte bislang ein Update auf das ganz aktuelle Android 2.3.4 erhalten.


    AndroidSecurity.png

    Bildquelle: mobilenerd

    Diskussion zum Beitrag

    Weitere Beiträge auf Android-Hilfe.de
    Motorola XT531 (aka Domino+) nun offiziell
    Skype 2.1: Videotelefonie nun für weitere Android-Geräte
    Testbericht zum HTC EVO 3D in den nächsten Tagen

    Quelle: golem
     
    quercus, 05.08.2011
    anime bedankt sich.

Diese Seite empfehlen