Lion13
Ehrenmitglied
- 5.263
Erst kürzlich berichteten wir von einem Browser-Exploit, mit dessen Hilfe Apps ohne Zustimmung des Benutzers installiert werden können (vorerst unter genau definierten Laborbedingungen) - diese basiert auf einer länger bekannten, aber erst mit Android 2.2 geschlossenen Sicherheitslücke. Auch für den Flash Player werden immer wieder solche Lücken gemeldet, ebenso wie es schon Meldungen zu Trojanern für die Android-Plattform gibt.
In einem Sicherheits-Blog hat der Experte Thomas Cannon nun eine neue Sicherheitslücke im Standard-Android-Browser entdeckt, die scheinbar alle OS-Versionen (auch Froyo) betrifft. Hierbei ist es durch den Besuch einer entsprechend präparierten Webseite möglich, lokale Daten des Benutzers auszulesen. Bedingt durch die Tatsache, daß der Browser abgeschottet in einer Sandbox läuft, kann der Browser nicht auf Systemverzeichnisse zugreifen. Aber auch Benutzerdaten können vertrauliche Informationen enthalten; derzeit muß der Pfad zu diesen Daten exakt bekannt sein, dies ist aber bei Apps durchaus üblich - ein Angriffsziel wäre beispielsweise eine Onlinebanking-Anwendung. Durch die Deaktivierung von JavaScript in den Einstellungen des Browsers kann man sich schützen, eine Alternative wäre auch die Nutzung eines anderen Browsers wie z.B. Opera Mobile - dieser fragt vor dem Download zuerst beim Benutzer nach.
Cannon beschreibt die Sicherheitslücke auf seiner Webseite und demonstriert diese auch mit einem Video. Er hat Google darüber informiert und auch sehr schnell die Antwort erhalten; Google hat die Sicherheitslücke inzwischen bestätigt (!) und arbeitet nach eigenen Angaben an einem Patch, der derzeit geprüft wird. In der in Kürze erwarteten neuen OS-Version 2.3 (Gingerbread) wird er noch nicht berücksichtigt sein, sondern in einem späteren Update berücksichtigt. Wann und wie schnell dieser Patch jedoch beim Anwender ankommen wird, ist völlig offen. Aus diesem Grund hatte Thomas Cannon sich auch entschlossen, die Sicherheitslücke zu veröffentlichen.
Diskussion zum Beitrag
Weitere Beiträge auf Android-Hilfe.de
https://www.android-hilfe.de/forum/...uf-android-smartphones-vorgefuehrt.53970.html
https://www.android-hilfe.de/forum/...-sicherheitsluecke-veroeffentlicht.53218.html
https://www.android-hilfe.de/forum/...gle-sicherheitsluecken-bei-android.39852.html
Quellen: Heise.de, thomascannon.net
In einem Sicherheits-Blog hat der Experte Thomas Cannon nun eine neue Sicherheitslücke im Standard-Android-Browser entdeckt, die scheinbar alle OS-Versionen (auch Froyo) betrifft. Hierbei ist es durch den Besuch einer entsprechend präparierten Webseite möglich, lokale Daten des Benutzers auszulesen. Bedingt durch die Tatsache, daß der Browser abgeschottet in einer Sandbox läuft, kann der Browser nicht auf Systemverzeichnisse zugreifen. Aber auch Benutzerdaten können vertrauliche Informationen enthalten; derzeit muß der Pfad zu diesen Daten exakt bekannt sein, dies ist aber bei Apps durchaus üblich - ein Angriffsziel wäre beispielsweise eine Onlinebanking-Anwendung. Durch die Deaktivierung von JavaScript in den Einstellungen des Browsers kann man sich schützen, eine Alternative wäre auch die Nutzung eines anderen Browsers wie z.B. Opera Mobile - dieser fragt vor dem Download zuerst beim Benutzer nach.
Cannon beschreibt die Sicherheitslücke auf seiner Webseite und demonstriert diese auch mit einem Video. Er hat Google darüber informiert und auch sehr schnell die Antwort erhalten; Google hat die Sicherheitslücke inzwischen bestätigt (!) und arbeitet nach eigenen Angaben an einem Patch, der derzeit geprüft wird. In der in Kürze erwarteten neuen OS-Version 2.3 (Gingerbread) wird er noch nicht berücksichtigt sein, sondern in einem späteren Update berücksichtigt. Wann und wie schnell dieser Patch jedoch beim Anwender ankommen wird, ist völlig offen. Aus diesem Grund hatte Thomas Cannon sich auch entschlossen, die Sicherheitslücke zu veröffentlichen.
Diskussion zum Beitrag
Weitere Beiträge auf Android-Hilfe.de
https://www.android-hilfe.de/forum/...uf-android-smartphones-vorgefuehrt.53970.html
https://www.android-hilfe.de/forum/...-sicherheitsluecke-veroeffentlicht.53218.html
https://www.android-hilfe.de/forum/...gle-sicherheitsluecken-bei-android.39852.html
Quellen: Heise.de, thomascannon.net