AOSP-Browser mit kleinem Hintertürchen

Wer zur Zeit den Open Source Project-Browser (AOSP) von Android im Einsatz hat, riskiert unter Umständen die Sicherheit seiner Privatsphäre. Erstmals wurde Anfang September im Forum von Rapid7 über bestehende Sicherheitslücken (Same-Origin-Policy-Lücke) im Standard-Browser von Android berichtet.

So ist es Cyberkriminellen möglicht, über einen bösartigen Javascript-Code, der auf herkömmlichen Internetseiten integriert wurde, auf Cookies des Standard-Browsers und auf vertrauliche Daten wie z.B. Banking oder Mailing bzw. allen Informationen und Daten von geöffneten Browser-Tabs zuzugreifen. Laut der Sicherheitsfirma Lookout betrifft diese Sicherheitslücke alle Standard-Browser die auf AOSP-Code basieren, d.h. bei jedem Smartphone dessen Android älter als Version 4.4 KiKat ist. Google berichtet, dass von diesen veralteten Betriebssystemen aktuell noch 75% täglich auf den Play-Store zugreifen und somit aktuell Gegenstand der Gefährdung darstellen.

Google hat mittlerweile mit Patches auf die Manipulation reagiert und damit Kompromittierung des Browsers mittels Javascript-URL-Handlers unterbunden. Wie lange es dauert bis Gerätehersteller diese Patches in Ihre Firmware verpacken und anschließend als Updates ausliefern, ist unterschiedlich.

botfrei.de empfiehlt: Halten Sie auch das Betriebssystem des Smartphones immer aktuell und spielen alle Sicherheitsupdates ein. Sollte für entsprechende Smartphones keine Updates bereitgestellt werden, benutzen Sie nicht den Standard-Browser sondern installieren Sie einen alternativen Browser wie Firefox oder Chrome, diese sind nicht von der Sicherheitslücke betroffen.