Ältere Android-Versionen sind von einer gefährlichen Sicherheitslücke betroffen. Nach Tests von Sicherheitsexperten ist es möglich, über den Android-Browser (AOSP) Passwörter, Cookies und Eingaben auszuspähen. Smartphones mit einem Betriebssystem ab Android 4.4 scheinen nicht betroffen zu sein.
Die Sicherheitslücke ist brisant. Denn damit ist es möglich, persönliche Daten auszuspähen und Accounts bis hin zum Online-Banking zu hacken. Dazu können Hacker ein Browserprotokoll nutzen, das eigentlich das Gegenteil erreichen soll: Same Origin Policy (SOP). Dieses soll verhindern, dass ein Skript auf eine Datei oder ein anderes Objekt zugreift, das nicht aus der gleichen Quelle stammt. Damit werden Querzugriffe verhindert und Hackern das Leben schwer gemacht. Eben dieses Browserprotokoll birgt in älteren Android-Versionen eine Lücke. Surft ein Nutzer beispielsweise auf einer entsprechend infizierten Seite und hat gleichzeitig sein Webmail-Konto geöffnet, könnte ein Angreifer nicht nur Tastatureingaben mitlesen, sondern die gesamte Session im Webmail-Konto kapern und über das geöffnete Browserfenster selbst E-Mails – zum Beispiel Spam – versenden. Ebenfalls können so Passwörter und Accountdaten bei Banken oder Online-Shops ausgespäht werden, um diese später zu missbrauchen. Möglich ist das Ausspähen grundsätzlich über alle Webseiten, die externe Skripte einbinden.
Diese Sicherheitslücke hat der IT-Experte Rafay Baloch für die Android-Version 4.2 bereits Anfang des Monats gefunden. Inzwischen haben andere Sicherheitsexperten die Lücke für mehrere Versionen unterhalb von Android 4.4 bestätigt. Erschreckend ist, in welcher Stille Google mit diesem Problem umgeht und Nutzer nicht über das Sicherheitsrisiko informiert. Das ist unverständlich, da laut Google 75 % der Android-Geräte noch ältere Versionen des Betriebssystems nutzen. Nach Informationen der Frankfurter Allgemeinen Zeitung hat Google jedoch inzwischen Patches für die Handy-Hersteller zur Verfügung gestellt. Diese müssten nun an die Nutzer überspielt werden. Insbesondere viele ältere Smartphones können nicht auf die neueste Android-Version gebracht werden. Daher sollten betroffene Nutzer bis zu einem Sicherheitspatch durch den Hersteller auf einen anderen Mobilbrowser wie Boot oder Firefox ausweichen.
Update 26.01.2015
Google wird dafür kein Sicherheitupdate bereitstellen, schrieb Google-Entwickler Adrian Ludwig in einem Blogpost. Das Statement von Ludwig wurde am Wochenende von Google als offizielle Position des Unternehmens bestätigt. Ludwig empfahl den betroffenen Anwendern, auf einen sicheren Webbrowser (Firefox oder Chrome) umzusteigen. Allerdings werden dadurch die Lücken in anderen betroffenen Apps nicht geschlossen.
Mehr Informationen
Ratgeber Smartphonetarif – Wahl des richtigen Produkts
Virus im Smartphone
Zugangsdaten für GPRS, EDGE und UMTS
Hinterlasse jetzt einen Kommentar