News

Lücke im AOSP Browser gefährdet dreiviertel aller Android-Geräte

AOSP Browser

Android ist ein offenes Betriebssystem und wird im Rahmen des Android Open Source Projektes als Quellcode zum Download der Allgemeinheit bereitgestellt. Bis einschließlich Android 4.3 Jelly Bean war der AOSP Browser Bestandteil des Quellcodes, bis er von Chrome ersetzt wurde. Und nun steht er wieder im Mittelpunkt: Wegen einer schweren Sicherheitslücke.

Lange Zeit war Android in seinem Quellcode mit zahlreichen Apps standardmäßig bereits ausgerüstet, aber Google entfernte mit der Zeit zahlreiche Apps um sie mit den eigenen proprietären Apps zu ersetzen. Eine der letzten auf diese Weise „ausgetauschten“ Apps ist der AOSP Browser gewesen, welcher mit Android 4.4 KitKat dem Chrome weichen musste. Das ist vielleicht gar nicht mal so eine schlechte Idee gewesen, denn der ursprüngliche Standard-Browser für den Großteil aller aktiv genutzten Android-Versionen hat eine schwere Sicherheitslücke, welche das Abgreifen von Sitzungsdaten mit Hilfe von JavaScript ermöglicht.

Löchriger AOSP Browser

Entdeckt hat die Lücke der pakistanische Sicherheitsforscher Rafay Baloch und seine Erkenntnisse in der Common Vulnerabilities and Exposures Datenbank veröffentlicht (CVE-2014-6041). Konkret ist es JavaScript-Anwendungen möglich, die sogenannte Same-Origin-Richtlinie zu umgehen und mittels JavaScript auf Sitzungsdaten sowie Standortsdaten und Cookies zuzugreifen. Theoretisch ließe sich damit der Login einer im Hintergrund des AOSP Browser geöffneten Website auslesen und missbrauchen wie Heise Security berichtet.

Die potentielle Gefahr der Lücke ist die hohe Verbreitung des AOSP Browser: Geschätzte 75 Prozent aller aktiv genutzter Android-Geräte hat diesen Browser installiert, auch wenn die Experten eine realistische Gefahr lediglich für Geräte ab Android 4.2.1 Jelly Bean und neuer sehen. Trotzdem sind das immerhin noch gut 25 Prozent laut den letzten Google Play Statistiken. Gerade Custom ROMs wie CyanogenMod oder Paranoid Android gehören zu den betroffenen Plattformen, da bei diesen der AOSP Browser in der Regel vorinstalliert ist.

Zwar hat Google bereits erklärt das man die Lücke schließen wolle, aber wann das Update bereitsteht ist nicht bekannt. Die Frage lautet vielmehr: Wird die neue Version des AOSP Browser überhaupt den Großteil der Android-Nutzer erreichen? Wer eine Custom ROM nutzt wird vermutlich früher oder später davon profitieren können, aber der Rest wird davon wohl nichts bemerken.

[Quelle: TechStage]

Beitrag teilen:

Stefan

Mann mit Bart und Faible für Smartphones und Tablets jeder Plattform, doch eindeutig bekennender Androidliebhaber.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert