Android ist ein offenes Betriebssystem und wird im Rahmen des Android Open Source Projektes als Quellcode zum Download der Allgemeinheit bereitgestellt. Bis einschließlich Android 4.3 Jelly Bean war der AOSP Browser Bestandteil des Quellcodes, bis er von Chrome ersetzt wurde. Und nun steht er wieder im Mittelpunkt: Wegen einer schweren Sicherheitslücke.
Lange Zeit war Android in seinem Quellcode mit zahlreichen Apps standardmäßig bereits ausgerüstet, aber Google entfernte mit der Zeit zahlreiche Apps um sie mit den eigenen proprietären Apps zu ersetzen. Eine der letzten auf diese Weise „ausgetauschten“ Apps ist der AOSP Browser gewesen, welcher mit Android 4.4 KitKat dem Chrome weichen musste. Das ist vielleicht gar nicht mal so eine schlechte Idee gewesen, denn der ursprüngliche Standard-Browser für den Großteil aller aktiv genutzten Android-Versionen hat eine schwere Sicherheitslücke, welche das Abgreifen von Sitzungsdaten mit Hilfe von JavaScript ermöglicht.
Entdeckt hat die Lücke der pakistanische Sicherheitsforscher Rafay Baloch und seine Erkenntnisse in der Common Vulnerabilities and Exposures Datenbank veröffentlicht (CVE-2014-6041). Konkret ist es JavaScript-Anwendungen möglich, die sogenannte Same-Origin-Richtlinie zu umgehen und mittels JavaScript auf Sitzungsdaten sowie Standortsdaten und Cookies zuzugreifen. Theoretisch ließe sich damit der Login einer im Hintergrund des AOSP Browser geöffneten Website auslesen und missbrauchen wie Heise Security berichtet.
Die potentielle Gefahr der Lücke ist die hohe Verbreitung des AOSP Browser: Geschätzte 75 Prozent aller aktiv genutzter Android-Geräte hat diesen Browser installiert, auch wenn die Experten eine realistische Gefahr lediglich für Geräte ab Android 4.2.1 Jelly Bean und neuer sehen. Trotzdem sind das immerhin noch gut 25 Prozent laut den letzten Google Play Statistiken. Gerade Custom ROMs wie CyanogenMod oder Paranoid Android gehören zu den betroffenen Plattformen, da bei diesen der AOSP Browser in der Regel vorinstalliert ist.
Zwar hat Google bereits erklärt das man die Lücke schließen wolle, aber wann das Update bereitsteht ist nicht bekannt. Die Frage lautet vielmehr: Wird die neue Version des AOSP Browser überhaupt den Großteil der Android-Nutzer erreichen? Wer eine Custom ROM nutzt wird vermutlich früher oder später davon profitieren können, aber der Rest wird davon wohl nichts bemerken.
Samsung hat nun auf seinem Galaxy-Oktober-Event in Südkorea und den USA das Galaxy XR-Headset offiziell…
Anfang der Woche hat Vivo im Heimatland das als preiswert zu bezeichnende iQOO 15 präsentiert.…
Manch einer von Euch wird vermutlich schmunzeln, wenn wir wieder einmal über das Apple iPad…
Neben dem Realme GT 8 Pro, das mit austauschbaren Kamera-Arrays in runder und eckiger Form…
Noch vor dem OnePlus 15 und OnePlus Ace 6 hat nun das Schwester-Unternehmen heute das…
Bislang war der Exynos-Prozessor von Samsung eher ein Chip, welchen die werte Kundschaft gemieden hat.…
Diese Seite verwendet cookies.