Android-Exploit schleust beliebige Apps ein

Wer ein Smartphone oder Tablet mit Android 4.3 oder älter nutzt, lebt gefährlich. Einmal mehr demonstriert dies ein neuer Exploit, der beim Aufruf einer Webseite ungefragt Apps auf das Gerät schmuggelt. heise Security hat das mal ausprobiert.

Zitat:

Durch zwei Sicherheitslücken war es möglich, Webseiten zu erstellen, die ungefragt beliebige Android-Apps aus Google Play installieren. Die erste Lücke ist eine alte Bekannte: Die Webbrowser-Komponente von Android bis einschließlich Version 4.3 ist anfällig für das sogenannte Universal Cross-Site-Scripting (UXSS). Dadurch kann eine bösartige Webseite eine beliebige andere Website fernsteuern. Die Angriffsseite könnte etwa einen Webmail-Dienst in einem unsichtbaren Frame laden und auf die Mails des Opfers zugreifen – vorausgesetzt, das Opfers ist bei dem Dienst eingeloggt, wenn es die bösartige Seite aufruft.

Auch wenn die Browser-Lücken bislang nicht auf breiter Front von Online-Ganoven ausgenutzt werden, sollte man als Nutzer von Android 4.3 oder älter darauf vorbereitet sein und, wie von Google empfohlen, auf einen alternativen Browser umsteigen. Zu beachten ist allerdings, dass man sich für einen Browser mit eigener Rendering-Enginge entscheidet, wie etwa Chrome oder Firefox. Browser-Apps, welche die verwundbare Webview-Komponente des Betriebssystems nutzen, bieten keinen Schutz. Dazu zählen auch die vorinstallierten Browser-Apps mancher Smartphone-Hersteller.

Ganzer Artikel und alle Rechte