In der sog. AOSP-Version des Android-Browsers wurde eine Sicherheitslücke (CVE-2014-6041) entdeckt, durch die Angreifer Daten der Nutzer abgreifen können.

Da die "Same-Origin-Policy" nicht richtig umgesetzt wurde, können bösartige Websites via JavaScript Cookies sowie Ortungs- und Sessiondaten von anderen Websites, die der Nutzer aktuell ebenfalls geöffnet hat, auslesen.

Werbung

Werbeblocker aktiv?

Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂

Vor Android 4.4 "KitKat" war der AOSP-Browser standardmäßig auf Android-Geräten vorinstalliert, mittlerweile setzt Google auf seinen Browser Chrome. Doch auch viele Custom-ROMs enthalten den verwundbaren Browser.

Da es mittlerweile ein einfach einzusetzendes Exploit-Framework für die Lücke gibt, sollten Nutzer ihn sicherheitshalber nicht mehr verwenden.

Bislang gibt es keinen Fix von Google, und selbst wenn irgendwann einer veröffentlicht sein wird, so ist fraglich, ob und wann die einzelnen Hersteller ihn an ihre Nutzer verteilen werden.

Quelle: heise.de

Update vom 10. Oktober:

Seit Bekanntwerden der Lücke hat Google Patches dagegen veröffentlicht, die Hersteller müssen diese "nur noch" an ihre Nutzer verteilen.

Dies läuft gewohnt langsam ab. Je nach Hersteller, Gerät und Land kann es eine Weile dauern, so sind z.B. in Deutschland der Sicherheitsfirma Lookout zufolge noch immer 59% aller Geräte betroffen.

via golem.de

Andere Beiträge, die auf diesen Beitrag verlinken

Deine Meinung zu diesem Artikel?