F

Same-Origin-Policy-Schwachstelle in AOSP-Browsern beheben

Eine Schwachstelle in AOSP-Browsern ermöglicht via JavaScript den Zugriff auf Website-Daten. Betroffen sind vor allem ältere Smartphones und Tablets.

Dieser Artikel behandelt

MDM

ÄHNLICHE THEMEN

Wie lässt sich das Risiko der Same-Origin-Policy-Schwachstelle im AOSP-Browser minimieren?

Ende letzten Jahres wurde in der Android-Open-Source-Project-Version (AOSP) des Android-Browsers eine schwerwiegende Sicherheitslücke entdeckt. Diese betrifft vor allem ältere Smartphones und Tablets, da Google seit Android 4.2 beziehungsweise 4.4 nur noch die eigene mobile Chrome-Variante ausliefert und entsprechend patcht. Google Chrome ist nicht von der Sicherheitslücke betroffen. Die Lücke erlaubt dem Angreifer, Benutzerdaten aus einer Anwendung zu stehlen.

Der Sicherheitsforscher Rafay Baloch entdeckte in den AOSP-Browsern vor der Android-Version 4.4 eine sogenannte Same-Origin-Policy-Schwachstelle. Dadurch kann ein Angreifer Daten von Websites stehlen, die der Benutzer in verschiedenen Registerkarten seines Browsers geöffnet hat. Die Sicherheitslücke CVE-2014-6041 erlaubt es, mittels JavaScript auf die entsprechenden Inhalte zuzugreifen. Dadurch ist es möglich, beispielsweise Cookies auszulesen und Passwörter oder Keyboard-Eingaben abzugreifen.

Die Same Origin Policy sorgt dafür, dass Skripte nur Elemente lesen und verändern können, die ein und dieselbe Quelle haben. Skripte, die auf Seiten laufen, die von derselben Website stammen, können ohne Beschränkung gegenseitig auf ihr Document Object Model (DOM) zugreifen. Der Zugriff auf das DOM anderer Websites wird aber verhindert. Damit kann JavaScript, das von einer bestimmten Quelle stammt, nicht auf die Eigenschaften einer Website anderen Ursprungs zugreifen.

Die strikte Trennung der Inhalte von unabhängigen Websites muss Client-seitig erfolgen, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. Zwei Seiten haben denselben Ursprung, wenn Protokoll, Port-Nummer, Domain und Host beider Seiten übereinstimmen. Dies bildet ein wichtiges Konzept für die Sicherheit von Webanwendungen, da es einige Arten von Cross-Site-Request-Forgery-Attacken (CSFR) verhindert, sprich Angriffe auf ein Computersystem, bei dem der Angreifer eine Transaktion in einer Webanwendung ausführt.

Forscher der Sicherheitsfirma Rapid7 fanden heraus, dass die Sicherheitslücke AOSP-Browser vor der Version Android 4.4 (KitKat), also in erster Linie ältere Smartphones und Tablets, betrifft. Google hat den AOSP-Browser ab Android 4.4 durch den Chrome-Browser ersetzt. Damit sind allerdings aktuell immer noch rund 50 Prozent der Android-Geräte durch die Same-Origin-Policy-Schwachstelle gefährdet. Da sich der Patch nur auf die Versionen 4.1 bis 4.3 beschränkt, bleiben alle Geräte mit früheren Versionen zudem komplett ungeschützt. Den Fehler enthalten auch alle Browser, die auf dem AOSP-Code basieren, darunter der Samsung Browser.

Nutzer der betroffenen Android-Smartphones oder Tablets müssen warten, bis die Hersteller Patches importieren oder Firmware-Updates veröffentlichen. Bei der Umsetzung kann es erhebliche zeitliche Unterschiede zwischen den Herstellern, Geräten und sogar Ländern geben, da die lokalen und regionalen Carrier eine wichtige Rolle bei der Verteilung der Updates spielen.

Unternehmen sollten alle Geräte auf die neueste Version von Android (ab 4.4) upgraden, da diese nicht von der Sicherheitslücke des Android-Browsers betroffen ist. Geräte, die nicht aktualisiert werden können, sollten ausgemustert oder ersetzt werden. Alternativ lässt sich auch der Chrome Browser installieren, der von dieser Schwachstelle nicht berührt ist. Administratoren sollten Chrome als Standard-Browser definieren, um zu verhindern, dass andere Apps den gefährdeten Android-Browser benutzen – dieser kann leider nicht deinstalliert werden.

Da Angreifer über die Lücke Cookies auslesen oder auch die komplette Kontrolle über die Session des Nutzers übernehmen können, sollten Administratoren die Sicherheitslücke schnellstmöglich schließen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Mobile-Device-Management (MDM)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close