Sicherheitslücke im Android Webbrowser

Dass der von Android bis Version 4.3 vorinstallierte Webbrowser einige Sicherheitslücken besitzt, ist schon länger bekannt. Besondere Aufmerksamkeit erfährt aktuell die sogenannte UXSS-Lücke, welche bisher zwar wohl noch nicht durch Angreifer benutzt wurde, wohl aber bereits zu Demonstationszwecken gedient hat. Kamera und Mikrofon ließen sich erfolgreich steuern und könnten somit z.B. zum Abhören des Nutzers verwendet werden.

Die Ursache

Der eigentliche Übeltäter ist im Grunde nicht der Webbrowser selbst, vielmehr liegt es an der WebView-Komponente, die auch von anderen Anwendungen genutzt wird, um Websites oder ähnliches darzustellen.

Betroffene

Wer bereits ein Smartphone, Tablet oder anderes System mit Android 4.4 (Kitkat) oder der neuen Version Android 5 (Lollipop) nutzt, ist in dieser Hinsicht auf der sicheren Seite. WebView wurde bei diesen Versionen nämlich durch eine modernere Variante ersetzt, bei der die Lücke nicht existiert.

Automatisch betroffen sind aber nicht automatisch alle, die ältere Versionen nutzen. Es gibt für die Lücken Patches, die von Google bereitgestellt wurden. Das Problem daran ist aber, dass diese ein Firmware-Update erfordern, welches durch den Hersteller erfolgen muss. Viele Hersteller lassen ihre Kunden aber trauriger Weise im Regen stehen.

Schutzmaßnahmen

Der einzige wirklich sichere Weg ist ein Upgrade auf Android 4.4 bzw. 5. Wem das zu kostspielig wird, sollte aber zumindest einen separaten Webbrowser installieren und standardmäßig nutzen. Hierzu eignen sich bspw. Firefox oder Dolphin, da WebView hier nicht zum Einsatz kommt.

Webbrowser als Standard definieren

Um den neuen Webbrowser als Standard zu definieren geht man folgendermaßen vor:

  • Öffnen der Einstellungen und Aufrufen des Unterpunktes Apps
  • Unter dem Reiter Alle den bisherigen Browser auswählen
  • Dort betätigt man den Button Standardeinstellungen zurücksetzen
  • Wird nun aus einer App heraus z.B. eine Webseite aufgerufen, kann der neue Browser gewählt und der Button immer betätigt werden, dadurch bleibt die Einstellung erhalten
Sicherheitslücke im Android Webbrowser
Bewerte diesen Beitrag

Schreibe einen Kommentar