Wieder eine Sicherheitslücke im Android-Browser entdeckt

  • 0 Antworten
  • Letztes Antwortdatum
Status
Für weitere Antworten geschlossen.
Lion13

Lion13

Ehrenmitglied
5.263
Erst kürzlich berichteten wir von einem Browser-Exploit, mit dessen Hilfe Apps ohne Zustimmung des Benutzers installiert werden können (vorerst unter genau definierten Laborbedingungen) - diese basiert auf einer länger bekannten, aber erst mit Android 2.2 geschlossenen Sicherheitslücke. Auch für den Flash Player werden immer wieder solche Lücken gemeldet, ebenso wie es schon Meldungen zu Trojanern für die Android-Plattform gibt.

In einem Sicherheits-Blog hat der Experte Thomas Cannon nun eine neue Sicherheitslücke im Standard-Android-Browser entdeckt, die scheinbar alle OS-Versionen (auch Froyo) betrifft. Hierbei ist es durch den Besuch einer entsprechend präparierten Webseite möglich, lokale Daten des Benutzers auszulesen. Bedingt durch die Tatsache, daß der Browser abgeschottet in einer Sandbox läuft, kann der Browser nicht auf Systemverzeichnisse zugreifen. Aber auch Benutzerdaten können vertrauliche Informationen enthalten; derzeit muß der Pfad zu diesen Daten exakt bekannt sein, dies ist aber bei Apps durchaus üblich - ein Angriffsziel wäre beispielsweise eine Onlinebanking-Anwendung. Durch die Deaktivierung von JavaScript in den Einstellungen des Browsers kann man sich schützen, eine Alternative wäre auch die Nutzung eines anderen Browsers wie z.B. Opera Mobile - dieser fragt vor dem Download zuerst beim Benutzer nach.

Cannon beschreibt die Sicherheitslücke auf seiner Webseite und demonstriert diese auch mit einem Video. Er hat Google darüber informiert und auch sehr schnell die Antwort erhalten; Google hat die Sicherheitslücke inzwischen bestätigt (!) und arbeitet nach eigenen Angaben an einem Patch, der derzeit geprüft wird. In der in Kürze erwarteten neuen OS-Version 2.3 (Gingerbread) wird er noch nicht berücksichtigt sein, sondern in einem späteren Update berücksichtigt. Wann und wie schnell dieser Patch jedoch beim Anwender ankommen wird, ist völlig offen. Aus diesem Grund hatte Thomas Cannon sich auch entschlossen, die Sicherheitslücke zu veröffentlichen.

Sicherheit_001_305550.jpg android_logo_android-hilfe.jpg


Diskussion zum Beitrag

Weitere Beiträge auf Android-Hilfe.de
https://www.android-hilfe.de/forum/...uf-android-smartphones-vorgefuehrt.53970.html
https://www.android-hilfe.de/forum/...-sicherheitsluecke-veroeffentlicht.53218.html
https://www.android-hilfe.de/forum/...gle-sicherheitsluecken-bei-android.39852.html

Quellen: Heise.de, thomascannon.net
 
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

P-J-F
Antworten
0
Aufrufe
4.394
P-J-F
P-J-F
P-J-F
Antworten
0
Aufrufe
2.183
P-J-F
P-J-F
P-J-F
Antworten
0
Aufrufe
2.312
P-J-F
P-J-F
Zurück
Oben Unten