Der Android Browser AOSP, der vor allem auf Handys mit einer älteren Android-Version standardmäßig installiert, soll eine gefährliche Sicherheitslücke enthalten.
Der Sicherheits-Experte Rafay Baloch hat herausgefunden, dass der auf vielen Android-Handys verwendete AOSP-Browser eine Lücke in der „Same Origin Policy“ enthält, die eine präparierte Webseite gezielt ausnutzen kann.
Über diese Sicherheits-Lücke können Angreifer persönliche Daten eines Benutzers auslesen können: Er soll per Javascript an Inhalte aus anderen geöffneten Tabs kommen und Daten aus einem Cookie auslesen können, der eigentlich zu einer anderen Webseite gehört. Baloch hat den Fehler nach eigenen Angaben auf Handys der Marken Samsung, HTC, Sony und Motorola gefunden. Betroffen sein sollen vor allem ältere Android-Version, die entweder nicht aktualisiert wurden oder auf günstigeren Einsteiger-Handys installiert sind, die für neuere Versionen des Android-Betriebssystems nicht genug RAM oder Speicher besitzen.
Dieser Angriff soll theoretisch bei allen Android-Versionen vor 4.4.x möglich sein – Balow geht davon aus, dass aber zumindest die Android-Version 4.2.1 von der Sicherheitslücke betroffen sei. Neuere Android-Versionen nutzen statt dem AOSP-Browser Googles eigenen Chrome Browser, der von der Lücke nicht betroffen ist. Wer sein Smartphone oder Tablet nicht auf eine neuere Android-Version updaten kann, sollte stattdessen einen alternativen Browser installieren und benutzen.
Alternative Android-Browser: