Android-Lücke ermöglicht Datenklau

Eine Lücke im Webbrowser von Android erlaubt es Angreifern, Dateien von Smartphones zu entwenden, wenn das Opfer eine präparierte Webseite besucht. Offenbar sind alle Android-Versionen betroffen.

In Pocket speichern vorlesen Druckansicht 222 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

Der Sicherheitsexperte Thomas Cannon hat eine Sicherheitslücke im Android-Browser entdeckt, die es Angreifern erlaubt, lokale Dateien des Anwenders vom Smartphone auszulesen, wenn dieser eine präparierte Webseite besucht. Offenbar betrifft die Schwachstelle sämtliche Android-Versionen, einschließlich der derzeit aktuellen Version 2.2 (Froyo). heise Security konnte dies auf einem Google Nexus One und einem Samsung Galaxy Tab jeweils mit Android 2.2 nachvollziehen. Cannon hat es eigenen Angaben zufolge mit einem HTC Desire (2.2) und dem Android-Emulator (1.5, 1.6 und 2.2) aus Googles SDK verifiziert.

Da der Browser in einer Sandbox läuft, kann der Angreifer auf diesem Wege nur auf Benutzerdaten und nicht etwa auf Systemverzeichnisse zugreifen. Außerdem muss der Angreifer den Pfad seines potenziellen Diebesgutes kennen. Ein geeignetes Ziel wären Kamerafotos, die mit einer fortlaufenden Nummer gespeichert werden oder stets gleich heißende Anwendungsdateien. Darin können sich auch vertrauliche Daten befinden, etwa von der Onlinebanking-App.

Zur Demonstration hat Cannon den Inhalt der Datei ct.txt aus dem Hauptverzeichnis unserer Speicherkarte auf seinen Server übertragen – wir haben lediglich den bereitgestellten Link im Standard-Browser von Android angeklickt. Der Server des Angreifers sendet eine mit Javascript gespickte HTML-Datei an den Browser, der sie ungefragt herunterlädt und anschließend durch eine Umleitung auf die heruntergeladene Datei mit lokalen Rechten ausführt. Dadurch erhält das Script Zugriff auf das Dateisystem und kann die gewünschten Dateien anschließend an den Server des Angreifers übertragen.

Während der Übertragung der manipulierten Datei blitzt kurz ein Infofenster auf, das über den automatischen Download informiert – ihn aber nicht verhindern kann. Schützen kann man sich, indem man in den Browser-Einstellungen JavaScript deaktiviert oder einen Browser wie Opera Mobile einsetzt, der vor Downloads zumindest um Erlaubnis fragt. Allerdings kann die manipulierte HTML-Datei auch auf anderen Wegen, beispielsweise als Mail-Anhang, auf das Gerät gelangen.

Cannon hat bereits Google über die Lücke informiert und innerhalb von 20 Minuten die Antwort erhalten, dass sich der Konzern um das Problem kümmere. Kurz darauf hat er nach Aufforderung des Suchmaschinenriesen die meisten Details von seiner Webseite entfernt. Inzwischen hat Google die Lücke nachvollzogen und einen ersten Patch entwickelt, der derzeit evaluiert wird. Bei der bevorstehenden Veröffentlichung von Android 2.3 (Gingerbread) werde er jedoch noch nicht berücksichtigt. Er soll in ein zukünftiges Update einfließen – bis dieses jedoch die Anwender erreicht, wird wohl noch einige Zeit vergehen. Damit begründet Cannon auch seine Entscheidung, sich mit dem Problem direkt an die Öffentlichkeit zu wenden. (rei)