Datenklau-Lücke in Android 2.3 nicht gestopft

Eine bereits im November 2010 bekanntgemachte Sicherheitslücke im Android-Browser, die den Diebstahl persönlicher Daten ermöglicht, lässt sich in ähnlicher Weise auch noch in der aktuellen Version 2.3 (Gingerbread) des Smartphone-Betriebssystems ausnutzen. Der Patch, der die Lücke schließen sollte, könne umgangen werden, berichtet der Sicherheitsforscher Xuxian Jiang von der Universität von North Carolina.

Jiang schreibt, er habe das Android Security Team am 26. Januar von dem Problem unterrichtet und den auf einem Nexus S erprobten Exploit-Code zur Verfügung gestellt. Erfreulicherweise sei das Team sehr schnell auf seine Mitteilung eingegangen, nehme das Problem ernst und habe unverzüglich mit der Untersuchung begonnen. Jiang betont, dass es sich nicht um einen Root-Exploit handele. Er läuft in der Android-Sandbox und hat deshalb nur Zugriff auf einen Teil der Daten, so etwa auf die SD Card. Es sei noch kein Exploit in freier Wildbahn entdeckt worden.

Die ursprünglich von dem Sicherheitsexperten Thomas Cannon aufgedeckte Lücke setzt voraus, dass der Anwender sich auf eine mit Schadcode präparierte Website locken lässt. Canon hatte das Problem veröffentlicht, nachdem es zunächst hieß, dass Google es in Android 2.3 nicht beseitigen wolle. Es wurde dann aber doch noch ein – offenbar nur notdürftiger – Patch eingefügt. Laut Jiang hat das Security Team jetzt in Aussicht gestellt, die Sicherheitslücke mit dem nächsten größeren Android-Update endgültig zu schließen.

Um sich bis zum Erscheinen des Updates zu schützen, sieht Jiang die Möglichkeit, JavaScript im Android-Browser abzuschalten, einen anderen Browser wie etwa Firefox zu benutzen oder das Verzeichnis /sdcard auszuhängen. Das würde allerdings die Benutzbarkeit des Smartphones stark einschränken. (cp)