Ungestopftes Datenleck in Androids Open-Source-Browser
Eine Lücke im AOSP-Browser von Android erlaubt es Webseiten die Daten anderer Seiten auszulesen. Die App wird in fast allen Android-Versionen vor Kit Kat mitgeliefert und dient vielen Custom-ROMs ebenfalls als Standard-Browser.
- Fabian A. Scherschel
In der AOSP-Version des Android-Browsers klafft eine Sicherheitslücke, die es Angreifern erlaubt, an die Daten zu gelangen, die ein Nutzer bei anderen Webseiten gespeichert hat (CVE-2014-6041). Durch diese sogenannten Same-Origin-Policy-Lücke kann eine bösartige Webseite die Cookies sowie Ortungs- und Sessiondaten einer anderen Seite abgreifen, die der Nutzer ebenfalls offen hat.
Vor Android 4.4 ("KitKat") war der Browser aus dem Android Open Source Project der Standardbrowser auf fast allen Handys und Tablets mit Android. Seit KitKat verteilt Google die proprietäre Chrome-Version für Android – dieser Browser scheint über die Lücke nicht angreifbar.
(Bild: Google Git)
Allerdings ist der AOSP-Browser durch die Verbreitung älterer Android-Versionen noch auf ca. 75% aller Android-Geräte installiert. Ab spätestens Android 4.2.1 sind diese Geräte verwundbar, was immer noch gut einem Viertel aller aktuellen Android-Systeme entsprechen würde. Außerdem wird der AOSP-Browser mit fast allen Custom-ROMs ausgeliefert.
Dank Metasploit wird der Angriff zum Kinderspiel
Die Macher des Exploit-Frameworks Metasploit haben nun ein Modul herausgegeben, mit dem sich die Lücke auf Knopfdruck ausnutzen lässt. Dabei generiert Metasploit eine Angriffswebseite on-the-fly und greift die Daten für Zielwebseiten ab, die der Angreifer spezifiziert.
Wann ein Fix von Google zu erwarten ist, ist momentan noch unklar. Aber selbst wenn dieser im AOSP aufschlägt ist längst nicht geklärt, dass die Lücke auf den betroffenen Geräten geschlossen wird, da die Hersteller und Provider für ältere Android-Versionen in der Regel keine Updates zur Verfügung stellen. Wenigstens die Entwickler der Custom-ROMs könnten den Patch allerdings relativ zeitnah verteilen.
Die Schwere der Lücke selbst lässt sich nur schwer einschätzen. Auf einem Desktop-Browser ist eine Same-Origin-Policy-Lücke eine böse Sache. Ein Angreifer kann damit unter Umständen ins Konto oder das Webmail-Portal des Opfers schauen. Viele Android-Nutzer verwenden den eingebauten Browser allerdings vor allem zum Surfen auf unkritischen Seiten und wickeln Transaktionen, bei denen wichtige personenbezogene Daten im Spiel sind, über Apps ab. Inwiefern deren eingebaute Web-Komponenten auf dem AOSP-Browser beruhen und somit angreifbar sind, lässt sich kaum überblicken. (fab)
