Schwere Sicherheitslücke im Android-Browser entdeckt

Der systemeigene Open-Source-Browser von Android sollte wegen einer Sicherheitslücke bis auf Weiteres nicht genutzt werden. Im Webkit-Browser von Android, erkenntlich am Weltkugelsymbol, klafft eine Sicherheitslücke, die das Umgehen der Same-Origin-Richtlinie des Browser ermöglicht. Die Same Origin Policy (SOP) ist ein Browser-Sicherheitskonzept für alle clientseitigen Scriptsprachen wie JavaScript und CSS, das den Ursprung der Objekte regelt. Theoretisch könnten über entsprechend vorbereitete Seiten mit JavaScript-Aufrüfen ganze Browser-Verläufe sowie Ortungsdaten des Anwenders ausgelesen werden, berichtet Heise Security unter Berufung eines IT-Experten.

«Eine beliebige Webseite könnte durch einen Spammer oder einen Spion kontrolliert werden, der Inhalte anderer Webseiten ausspähen kann», meldet der Exploit-Finder Tod Beardsley. Angreifer könnten sich etwa an heiklen Daten wie Webmail-Inhalten in geöffneten Browser-Tabs zu schaffen machen.

Das Problem ist nur: Betroffen seien sämtliche Android-Versionen ab der Version 4.21. Sämtliche Tablets und Smartphones mit Android 4.4 sind nicht von der Sicherheitslücke betroffen. Das zweite Problem, weswegen die Bedrohung zunimmt: Entdecker der Sicherheitslücke hegen mit einem gebastelten Modul bereits weitere Angriffspläne mit schnell einzurichtenden Webseiten. Nach Googles eigenen Zahlen haben derweil nur 24,5 Prozent Android 4.4 auf ihren Geräten.

Wann von Google ein Sicherheits-Update kommt, weiss man noch nicht. Solange die Gefahr noch nicht genauer einschätzbar ist, empfiehlt es sich, zum Surfen auf alternative Browser wie Chrome oder Mozilla Firefox auszuweichen. Die Autoren im Forum der Sicherheitsfirma Rapid 7 wollen bis Ende Woche die Lücke genauer untersuchen.