AndroidDer Security-Experte Rafay Baloch berichtet auf seiner Webseite, dass der Android-Browser unsicher ist und eine fiese Sicherheitslücke erhält. Die Angreifer können angeblich über den AOSP-Browser an Informationen gelangen, die der User zuvor mit einer anderen vertrauenswürdigen Webseite geteilt hat. Somit kann ein Hacker beispielsweise Session-Cookies auslesen, die von einer anderen Seite gesetzt wurden.



Die Sicherheitslücke in der SOP "Same Origin Policy" soll auf zahlreichen Android-Handys mit der Version 4.2.1 und dem AOSP-Browser (CVE-2014-6041) von Samsung, HTC, Sony und Motorola nachgewiesen sein.

 Android Browser ist unsicher

Zitat:

A SOP bypass occurs when a sitea.com is some how able to access the properties of siteb.com such as cookies, location, response etc. Due to the nature of the issue and potential impact, browsers have very strict model pertaining it and a SOP bypass is rarely found in modern browsers. However, they are found once in a while. The following writeup describes a SOP bypass vulnerability i found in my Qmobile Noir A20 running Android Browser 4.2.1, and later verified that Sony+Xperia+Tipo, Samsung galaxy, HTC Wildfire, Motrorolla etc are also affected. To best of my knowledge, the issue occurred due to improper handling of nullbytes by url parser.

Quelle: Rafay Baloch

 

Einen Patch gibt es angeblich bislang nicht. Rafay Baloch empfiehlt einen alternativen Browser wie Firefox oder Chrome einzusetzen. Entdeckt wurde der Bug bereits am 1. September 2014 und Google äußerte sich bis heute nicht dazu.



Wenn Dir dieser Artikel gefällt, dann teile ihn mit Deinen Freunden!



InfoDu kannst diesen Artikel teilen und über die verschiedensten Social-Media-Kanäle unsere Beiträge weiterempfehlen. Die Redaktion freut sich auch über jede Unterstützung, auch über die Nutzung unseres Partner- oder Affiliate-Links, wie Amazon oder Gearbest. Vielen Dank!



Kommentar verfassen

Was denkst Du?
Hier kannst Du deine Meinung zum Artikel äußern. Wir freuen uns auf deine Kommentare und Anmerkungen. Alle Kommentare sind jeder Zeit willkommen.

Hinweis: Deine E-Mail-Adresse wird nicht veröffentlicht. Die Kommentar-Erweiterung arbeitet mit Cookies! Ohne aktive Cookies werden die Captchas nicht erkannt! Beachte auch, dass alle Kommentare zunächst von uns gelesen werden, bevor wir sie freischalten, um die Website vor Spam zu schützen.


Sicherheitscode
Aktualisieren