1. Nimm jetzt an unserem 2. ADVENT-Gewinnspiel teil - Alle Informationen findest Du hier!

Wieder eine Sicherheitslücke im Android-Browser entdeckt

News vom 25.11.2010 um 09:35 Uhr von Lion13

  1. Sicherheit_001_305550.jpg
    Erst kürzlich berichteten wir von einem Browser-Exploit, mit dessen Hilfe Apps ohne Zustimmung des Benutzers installiert werden können (vorerst unter genau definierten Laborbedingungen) - diese basiert auf einer länger bekannten, aber erst mit Android 2.2 geschlossenen Sicherheitslücke. Auch für den Flash Player werden immer wieder solche Lücken gemeldet, ebenso wie es schon Meldungen zu Trojanern für die Android-Plattform gibt.

    In einem Sicherheits-Blog hat der Experte Thomas Cannon nun eine neue Sicherheitslücke im Standard-Android-Browser entdeckt, die scheinbar alle OS-Versionen (auch Froyo) betrifft. Hierbei ist es durch den Besuch einer entsprechend präparierten Webseite möglich, lokale Daten des Benutzers auszulesen. Bedingt durch die Tatsache, daß der Browser abgeschottet in einer Sandbox läuft, kann der Browser nicht auf Systemverzeichnisse zugreifen. Aber auch Benutzerdaten können vertrauliche Informationen enthalten; derzeit muß der Pfad zu diesen Daten exakt bekannt sein, dies ist aber bei Apps durchaus üblich - ein Angriffsziel wäre beispielsweise eine Onlinebanking-Anwendung. Durch die Deaktivierung von JavaScript in den Einstellungen des Browsers kann man sich schützen, eine Alternative wäre auch die Nutzung eines anderen Browsers wie z.B. Opera Mobile - dieser fragt vor dem Download zuerst beim Benutzer nach.

    Cannon beschreibt die Sicherheitslücke auf seiner Webseite und demonstriert diese auch mit einem Video. Er hat Google darüber informiert und auch sehr schnell die Antwort erhalten; Google hat die Sicherheitslücke inzwischen bestätigt (!) und arbeitet nach eigenen Angaben an einem Patch, der derzeit geprüft wird. In der in Kürze erwarteten neuen OS-Version 2.3 (Gingerbread) wird er noch nicht berücksichtigt sein, sondern in einem späteren Update berücksichtigt. Wann und wie schnell dieser Patch jedoch beim Anwender ankommen wird, ist völlig offen. Aus diesem Grund hatte Thomas Cannon sich auch entschlossen, die Sicherheitslücke zu veröffentlichen.

    Sicherheit_001_305550.jpg android_logo_android-hilfe.jpg


    Diskussion zum Beitrag

    Weitere Beiträge auf Android-Hilfe.de
    http://www.android-hilfe.de/news-an...apps-auf-android-smartphones-vorgefuehrt.html
    http://www.android-hilfe.de/news-an...webkit-sicherheitsluecke-veroeffentlicht.html
    http://www.android-hilfe.de/news-an...gt-google-sicherheitsluecken-bei-android.html

    Quellen: Heise.de, thomascannon.net
     
    Lion13, 25.11.2010

Diese Seite empfehlen