Open Source im professionellen Einsatz

Android-Browser-Lücke verursacht "Privacy Disaster"

16.09.2014

Bereits am 1. September wurde eine neue Sicherheitslücke im Android-Browser gefunden, die es erlaubt, Browser-Sessions zu übernehmen und Nutzer auszuspionieren.

103

Wie das Security-Street-Blog berichtet, hat Rafay Baloch die Lücke entdeckt, welche die Same Origin Policy (SOP) aushebelt und als CVE-2014-6041 publik gemacht. Stellt ein Angreifer einem in Javascript geschriebenen URL-Handler ein Nullzeichen voran, kann er nicht nur die Inhalte weiterer geöffneter Webseiten auslesen, sondern auch die Browser-Session komplett übernehmen.

Was den Security-Street-Blogger Tod Beardsley vor allem beunruhigt, ist, dass es offenbar keinerlei öffentliche Reaktion von Google auf den Bug gibt, den er als "Privacy Desaster" bezeichnet. Seiner Schätzung nach betrifft die Lücke etwa 75 Prozent aller Android-Systeme. Inzwischen existiert auch ein Metasploit-Modul, das die Lücke ausnutzt.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 01/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.