Bereits am 1. September wurde eine neue Sicherheitslücke im Android-Browser gefunden, die es erlaubt, Browser-Sessions zu übernehmen und Nutzer auszuspionieren.
Wie das Security-Street-Blog berichtet, hat Rafay Baloch die Lücke entdeckt, welche die Same Origin Policy (SOP) aushebelt und als CVE-2014-6041 publik gemacht. Stellt ein Angreifer einem in Javascript geschriebenen URL-Handler ein Nullzeichen voran, kann er nicht nur die Inhalte weiterer geöffneter Webseiten auslesen, sondern auch die Browser-Session komplett übernehmen.
Was den Security-Street-Blogger Tod Beardsley vor allem beunruhigt, ist, dass es offenbar keinerlei öffentliche Reaktion von Google auf den Bug gibt, den er als “Privacy Desaster” bezeichnet. Seiner Schätzung nach betrifft die Lücke etwa 75 Prozent aller Android-Systeme. Inzwischen existiert auch ein Metasploit-Modul, das die Lücke ausnutzt.
