Digital

Vorerst lieber einen alternativen Browser verwenden. Bild: REUTERS

Viele Geräte betroffen

Sicherheitslücke im Android-Browser entdeckt

Im Android-Browser klafft eine Sicherheitslücke. Sie soll es bösartigen Websites ermöglichen, die Daten anderer geöffneter Seiten auszulesen. Noch ist nicht abzusehen, wann das Problem gelöst wird.

17.09.14, 16:33 17.09.14, 21:49

Ein Artikel von

Auf Smartphones mit einem Android-Betriebssystem unterhalb der Version 4.4 (Kitkat) sollte der systemeigene Open-Source-Browser bis auf Weiteres nicht genutzt werden. Bei der Verwendung des Browsers, der in der Regel mit einer Weltkugel symbolisiert wird, kann es vorkommen, dass bösartige Webseiten die Daten anderer Seiten auslesen, berichtet das Fachportal «Heise Security». Es handele sich um eine sogenannte Same-Origin-Policy-Lücke. Gute Browser-Alternativen sind zum Beispiel Chrome, Firefox und Opera.

Der betroffene Open-Source-Browser soll durch die nach wie vor grosse Verbreitung älterer Android-Versionen noch auf rund 75 Prozent aller Android-Geräte installiert sein, heisst es. Verwundbar seien Geräte spätestens ab der Android-Version 4.2.1, was einem Viertel aller Android-Geräte entspräche. Seit Kitkat verteile Google den proprietären Chrome-Browser, der über die Lücke nicht angreifbar sei.

Wann und wie Google in Zusammenarbeit mit Herstellern und Providern die Lücke schliesst, ist fraglich, da für ältere Android-Versionen oft keine Updates mehr bereitgestellt werden. Laut «Ars Technica» ist Google zumindest dabei, an einer Lösung zu arbeiten.

Aktualisierung sonst per Betriebssystem-Update

Am wahrscheinlichsten sei eine Aktualisierung noch bei sogenannten Custom-ROMs, meint «Heise Security», also bei alternativen Android-Betriebssystemen wie etwa CyanogenMod oder Replicant. Anders als Browser-Apps wie Chrome wird der Open-Source-Browser standardmässig durch Betriebssystem-Updates auf den neuesten Stand gebracht, nicht per Play Store.

Zur Schwere der Lücke schreibt «Heise Security», bei einem Desktop-Browser sei eine Same-Origin-Policy-Lücke «eine böse Sache». Ein Angreifer könne damit unter Umständen ins Konto oder das Webmail-Portal des Opfers schauen. Viele Android-Nutzer dagegen würden den eingebauten Browser vor allem zum Surfen auf unkritischen Seiten nutzen. Transaktionen, bei denen wichtige personenbezogene Daten im Spiel sind, würden über Apps abgewickelt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält die Sicherheitslücke für vergleichsweise ernst: Es bewertet das Risiko mit Stufe vier von fünf. Entdeckt wurde die Sicherheitslücke von Rafay Baloch, einem Sicherheitsexperten aus Pakistan. (mbö/dpa)

Abonniere unseren NewsletterNewsletter-Abo
1
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
1Kommentar anzeigen
    Alle Leser-Kommentare
  • cbaumgartner 19.09.2014 00:40
    Highlight Ich wage zu behaupten dass man mit Firefox grundsätzlich auf der sicheren Seite ist, ob Desktop oder Mobile.
    0 0 Melden

Daten-GAU bei Digitec – sensible Kundendaten gestohlen, für gezielte Angriffe missbraucht

Der grösste Schweizer Online-Shop bestätigt, dass «Betrüger» in den Besitz «persönlicher Daten» gekommen seien. Potenziell betroffen seien Kundendaten von 2001 bis maximal Mitte 2014.

Digitec-Mediensprecher Alex Hämmerli hat mit einer ausführlichen Stellungnahme auf unsere Anfrage reagiert. Und er bestätigt die oben gemachten Angaben in allen Punkten.

Der Angriff erfolgte laut Hämmerli über den alten Online-Shop von Digitec, der neue Digitec-Shop sei nicht betroffen:

Der Kreis der Betroffenen halte sich in Grenzen, sagt der Digitec-Sprecher, ohne konkrete Zahlen zu nennen.

Zwischen dem aktuellen Fall und den Phishing-Attacken im August und September gibt es laut Hämmerli …

Artikel lesen