Q
quercus
Gast
Wieder gibt es Sicherheitslöcher bei Android selbst. Diesesmal befindet sich im Webkit-Browser von Android ein Sicherheitsloch, das für gefährliche Angriffe verwendet werden kann. Der Besuch einer Webseite kann dazu missbraucht werden, um Android-Anwendungen ohne Wissen des Nutzers zu installieren.
Forscher der Uni Saarland haben diese Sicherheitslücke entdeckt. Als Verursacher wird die View-Intent-Funktion des Android-Browsers genannt. "Angreifer" können darüber beliebige Applikationen auf einem fremden Gerät installieren. Man kann View-Intent insofern missbrauchen, indem sie über die Webversion des Android Market eine Anwendung installieren. Dabei wird eine Anwendung nach Angaben der Forscher ohne Nachfrage auf dem Android-Gerät installiert. Die bei der Installation von Android-Anwendungen übliche Abfrage zu den angeforderten Berechtigungen erscheint nicht, der Nutzer erfährt also auch nicht, mit welchen Berechtigungen sich die Anwendung installiert.
Wie wir bereits berichteten, wurde in den vergangenen Monaten wiederholt Schadsoftware über den Android Market verbreitet. Wenn ein Angreifer Besitzer eines Android-Geräts dazu bringt, eine entsprechend präparierte Webseite zu öffnen, kann dieser Schadsoftware über den Android Market installieren, ohne dass der Angegriffene das bemerkt. Klarerweise kann Zudem das Sicherheitsloch im Android-Browser dazu missbraucht werden, vertrauliche Daten auszulesen. Dann ist keine Installation einer Anwendung erforderlich, es genügt der Besuch einer entsprechend präparierten Webseite mit dem Android-Browser.
Das Sicherheitsloch haben die Forscher für Android 2.3.4 und Android 3.0.1 bestätigt. Sie vermuten, dass der Fehler auch vorherige Android-Versionen betrifft. Ende Juni 2011 hatten sie Google auf den Fehler hingewiesen und die Informationen zu der Sicherheitslücke nun veröffentlicht, nachdem Google angekündigt hatte, dass der Fehler in Android korrigiert worden ist. Wann Google ein Update mit der Fehlerkorrektur veröffentlicht, ist nicht bekannt.
Es ist allerdings davon auszugehen, dass Google den Fehler nur mit einem Update auf Android 2.3.5 beseitigen wird. Damit wird es noch Monate und Jahre dauern, bis die Sicherheitslücke in allen verwendeten Android-Smartphones beseitigt wird.
Obwohl bereits recht viele Smartphones mit Gingerbread alias Android 2.3 laufen, haben nur die wenigsten Geräte bislang ein Update auf das ganz aktuelle Android 2.3.4 erhalten.
Diskussion zum Beitrag
Weitere Beiträge auf Android-Hilfe.de
Motorola XT531 (aka Domino+) nun offiziell
Skype 2.1: Videotelefonie nun für weitere Android-Geräte
Testbericht zum HTC EVO 3D in den nächsten Tagen
Quelle: golem
Forscher der Uni Saarland haben diese Sicherheitslücke entdeckt. Als Verursacher wird die View-Intent-Funktion des Android-Browsers genannt. "Angreifer" können darüber beliebige Applikationen auf einem fremden Gerät installieren. Man kann View-Intent insofern missbrauchen, indem sie über die Webversion des Android Market eine Anwendung installieren. Dabei wird eine Anwendung nach Angaben der Forscher ohne Nachfrage auf dem Android-Gerät installiert. Die bei der Installation von Android-Anwendungen übliche Abfrage zu den angeforderten Berechtigungen erscheint nicht, der Nutzer erfährt also auch nicht, mit welchen Berechtigungen sich die Anwendung installiert.
Wie wir bereits berichteten, wurde in den vergangenen Monaten wiederholt Schadsoftware über den Android Market verbreitet. Wenn ein Angreifer Besitzer eines Android-Geräts dazu bringt, eine entsprechend präparierte Webseite zu öffnen, kann dieser Schadsoftware über den Android Market installieren, ohne dass der Angegriffene das bemerkt. Klarerweise kann Zudem das Sicherheitsloch im Android-Browser dazu missbraucht werden, vertrauliche Daten auszulesen. Dann ist keine Installation einer Anwendung erforderlich, es genügt der Besuch einer entsprechend präparierten Webseite mit dem Android-Browser.
Das Sicherheitsloch haben die Forscher für Android 2.3.4 und Android 3.0.1 bestätigt. Sie vermuten, dass der Fehler auch vorherige Android-Versionen betrifft. Ende Juni 2011 hatten sie Google auf den Fehler hingewiesen und die Informationen zu der Sicherheitslücke nun veröffentlicht, nachdem Google angekündigt hatte, dass der Fehler in Android korrigiert worden ist. Wann Google ein Update mit der Fehlerkorrektur veröffentlicht, ist nicht bekannt.
Es ist allerdings davon auszugehen, dass Google den Fehler nur mit einem Update auf Android 2.3.5 beseitigen wird. Damit wird es noch Monate und Jahre dauern, bis die Sicherheitslücke in allen verwendeten Android-Smartphones beseitigt wird.
Obwohl bereits recht viele Smartphones mit Gingerbread alias Android 2.3 laufen, haben nur die wenigsten Geräte bislang ein Update auf das ganz aktuelle Android 2.3.4 erhalten.
Bildquelle: mobilenerd
Diskussion zum Beitrag
Weitere Beiträge auf Android-Hilfe.de
Motorola XT531 (aka Domino+) nun offiziell
Skype 2.1: Videotelefonie nun für weitere Android-Geräte
Testbericht zum HTC EVO 3D in den nächsten Tagen
Quelle: golem
Zuletzt bearbeitet von einem Moderator: