News 12.03.2012, 10:25 Uhr

WebKit-Lücke bedroht Android und Co.

Die meisten Webbrowser auf Smartphones und Tablets verwenden WebKit. Das gilt für Google Android, Apple iOS und BlackBerry OS. Unter Android wurde nun eine schwerwiegende Schwachstelle in WebKit ausgenutzt, um Spyware zu installieren.
Bereits während der RSA-Sicherheitskonferenz in San Francisco Ende Februar wurde der Proof of Concept eines Drive-by-Downloads für Android-Geräte gezeigt. Die Demonstration durch die Firma CrowdStrike wurde mit einem WebKit-Exploit durchgeführt, den das Unternehmen einfach in der Internetszene gekauft hatte. CrowdStrike passte den Exploit an, ergänzte ihn mit einigen Skripten und packte ihn auf eine Webseite. Beim Anklicken eines Links zu dieser Webseite stürzt sofort der Android-Browser ab, lädt aber eine Malware und startet mit einem Neustart die Schad-Software. Dabei erhält die Malware ausserdem Root-Zugriff auf das Android-System. Bei der RSA-Demonstration arbeitete die Schad-Software anschliessend als Spyware, die Telefongespräche und SMS abhörte.
Wehrlose Opfer
Der Link zu der präparierten Webseite kann auf anderen Internetseiten enthalten sein, in E-Mails, SMS-Nachrichten oder Anhängen. Sobald der Internetbrowser darüber gestartet und die präparierte Webseite geladen wird, ist es passiert. Aktuelle Malware-Scanner sind bei dieser Art von Angriff wirkungslos und schlagen noch nicht einmal Alarm. Einen Schutz mit Zusatz-Software gibt es nicht.
Eddy Willems, Security Evangelist bei G Data, erklärte im Interview mit unserer deutschen Schwesterpublikation TecChannel, dass schon diese Demonstration auf der RSA-Konferenz die Cyberkriminellen anregen dürfte, die Möglichkeiten auszuloten und dann mit neuen Threats und artverwandter Malware zuzuschlagen. Das Sicherheitsproblem lässt sich zudem nur mit einem Betriebssystem-Update beseitigen, denn WebKit ist darin enthalten. «Da es für viele Android-Smartphones und Tablets oft keine Updates mehr vom Gerätehersteller gibt, oder die Mobilfunkanbieter sie nur mit grosser Verzögerung bereitstellen, macht dies Android aktuell zu einem sehr angreifbaren System», argumentiert Willems.
Nicht nur Android betroffen
Allerdings ist das Grundproblem nicht auf Android beschränkt, denn das ursprünglich von Apple entwickelte Open-Source-Projekt WebKit findet auch unter Windows, Linux, Mac OS X, BlackBerry OS und Apple iOS Verwendung. Beispielsweise setzen die Browser Google Chrome und Apple Safari auf WebKit. Während sich Schachstellen dieser Art bei den Desktop-Betriebssystemen schnell durch ein Software-Update beseitigen lassen, ist auch bei BlackBerry OS und Apple iOS ein komplettes Betriebssystem-Update erforderlich. Derzeit ist allerdings noch kein Exploit für andere Systeme als Android 2.2 und 2.3. bekannt.



Kommentare
Avatar
swissmac
13.03.2012
Das typische tägliche Andriod Bashing - Probleme bei allen OS -> Android wird an erster Stelle genannt - neue Funktion/Produkt bei allen OS -> iOS wird an erster Stelle genannt Habt ihr alle gratis iPhones in der Redaktion erhalten? ¨ Übrigens gibt es bei Android Sicherheitsupdates über Wi-Fi schon lange - lange bevor iOS das konnte. Auch ohne OS-Update ....

Avatar
Gaby Salvisberg
13.03.2012
Habt ihr alle gratis iPhones in der Redaktion erhalten? Nein. Ich bezahle. Und zwar für mein Android-Teil.

Avatar
Hannes Weber
13.03.2012
- Probleme bei allen OS -> Android wird an erster Stelle genannt - neue Funktion/Produkt bei allen OS -> iOS wird an erster Stelle genannt Habt ihr alle gratis iPhones in der Redaktion erhalten? ¨ Übrigens gibt es bei Android Sicherheitsupdates über Wi-Fi schon lange - lange bevor iOS das konnte. Auch ohne OS-Update .... Der Artikel stammt zwar nicht von unserer Redaktion, dennoch zur Verteidigung: Die Schwachstelle betrifft nicht nur Android, aber bislang ist erst für Android ein Exploit bekannt, der diese Lücke auch ausnutzt. Steht auch so im Artikel: "Derzeit ist allerdings noch kein Exploit für andere Systeme als Android 2.2 und 2.3. bekannt." Ich denke deshalb darf man in diesem konkreten Fall auch Android hervorheben. PS: Bin wie Kollegin Gaby auch Android-Nutzer.

Avatar
swissmac
13.03.2012
Ok ... .... vergeben und vergessen ... hoffe gegenseitig .... ;-)