News 18.02.2015, 13:55 Uhr

Android-Lücke WebKit: jetzt Smartphone absichern

In Android klafft nach wie vor ein Sicherheitsloch. Mit diesen Tipps surfen Sie trotzdem sicher.
Im systemeigenen Android-Browser, erkennbar am blauen Weltkugelsymbol, klafft nach wie vor eine schwerwiegende Sicherheitslücke, obwohl Google darauf reagieren sollte. IT-Experten konnten vor einigen Monaten nachweisen, dass unter Verwendung des Standard-Browsers bis und mit Android 4.3, über manipulierte Seiten ganze Browser-Verläufe oder Ortungsdaten des Anwenders auslesbar sind. Der Schwachstelle zugrunde liegt ein instabiles Browser-Sicherheitskonzept, das den Objektursprung clientseitiger Scriptsprachen wie JavaScript regelt. Das Problem: Webview, die betroffene Kernkomponente des Google-Standard-Browsers, wird seit Android 4.4 nicht mehr weiterentwickelt. Android 4.4 setzt beim Standard-Browser seither auf die Chrome-Kernkomponente Chromium. 

Erste Massnahme: den löchrigen Browser abschalten

Wer derzeit (noch) nicht auf Android 4.4 aktualisieren kann oder nicht auf andere Mittel (wie Rooting) zurückgreifen will, sollte einen grossen Bogen um den Android-Standard-Browser machen und stattdessen einen alternativen Browser wie Chrome oder Opera installieren. Die Wahrscheinlichkeit, dass mehr Cyberkriminelle in den nächsten Wochen gezielt die vorhandene Schwachstelle ausnutzen könnten, ist nun auf jeden Fall gegeben.
Die radikalste und einfachste Massnahme ist das Deaktivieren des WebView-Browsers. Um überhaupt nicht mehr versehentlich den gefährdeten Android-Browser aufzurufen, sollte man unter Einstellungen/Apps nach der Anwendung Internet suchen und die App deaktivieren. Das Symbol vom Homescreen wandert mit einem Wisch nach oben in den Papierkorb. 

Zweite Massnahme: Apps überprüfen 

Soweit so gut. Problem Nummer 2: Manche Apps wollen für externe Links immer noch den kaputten Webkit-Browser aufrufen, auch wenn dieser deaktiviert ist.
Stellen Sie z.B. bei Facebook sicher, dass externe Seitenaufrufe über einen anderen Browser erfolgen
Quelle: IDG
Ein solcher Fall ist z.B. Facebook, teilweise auch News-Apps und RSS-Reader. Einige Anwendungen erlauben in den Einstellungen für externe Seitenaufrufe das Zuschalten eines externen Browsers. Bei Facebook findet sich eine entsprechende Option in den App-Einstellungen übers Hamburger-Menü, mit der Sie z.B. Chrome als Standard-Browser festlegen. Ist eine solche Option in Apps, innerhalb derer Sie Links aufrufen, nicht vorhanden, suchen Sie besser nach einer App-Alternative oder rufen Sie mit der App keine Links mehr auf. Bei News-Apps bietet sich die mobile Webansicht an.
Weitere Vorsicht geboten ist bei Apps, deren Nutzungsbedingungen oder Hilfe-Seiten als Browser-Fenster geladen werden, z.B. wenn man sich in einem unverschlüsselten öffentlichen WLAN befindet. Kritische, offene Hotspots sollten grundsätzlich gemieden werden. Ein Verzicht auf Apps mit Werbebannern ist übrigens ebenfalls ratsam. 

Keine Nachbesserung von Google in Sicht

Der Suchmaschinist gab vor einem Monat dem IT-Sicherheitsexperten Todd Beardsley zur Antwort, dass Google keine weiteren Patches für Webview bereitstellen wird. Beardsley selber sieht das Ganze nicht so dramatisch: «Betonen muss man, dass Android quelloffen ist. Daher ist es für Hersteller oder begeisterte Anwender nicht unmöglich, eigene Patches nachzuliefern», schreibt er in seinem Blog.
Die Frage ist eher, welche Hersteller gewillt sind, Patches nachzuliefern, insbesondere für ältere Smartphones.

Autor(in) Simon Gröflin



Kommentare
Es sind keine Kommentare vorhanden.