Vergangenen Monat hat Lookout von zwei (http://www.rafayhackingarticles.net/2014/08/android-browser-same-origin-policy.html) Sicherheitslücken (http://www.rafayhackingarticles.net/2014/10/a-tale-of-another-sop-bypass-in-android.html) erfahren, die den Browser des Android Open Source Project (kurz AOSP-Browser) betreffen. Das aktuelle Problem ist jedoch weitreichender und betrifft nicht nur den AOSP-Browser, sondern auch Browser, die auf dem AOSP-Code basieren – wie beispielsweise der Samsung-Browser.
Das Problem ist unter den Lookout-Nutzer recht weit verbreitet.
Knapp 45% aller Lookout-Nutzer haben eine angreifbare Version des AOSP-Browsers auf ihren Geräten. An dieser Stelle sei darauf hingewiesen, dass diese Nutzer möglicherweise noch einen separaten Browser wie Chrome oder Firefox auf dem Gerät installiert haben. Solange die Sicherheitslücke im AOSP-Browser nicht behoben ist, setzen Nutzer ihre Daten aufs Spiel, da betrügerische Angreifer diese Daten stehlen und Zugriff auf authentifizierte Nutzer-Sessions bekommen können. Mit anderen Worten: Die Angreifer können auf den besuchten Seiten beliebige Aktionen ausführen, die normalerweise nur dem Nutzer vorbehalten sind.
Die umfangreiche Lookout-Datenbank zeigt auf, in wieweit Android-Nutzer im Allgemeinen von Sicherheitslücken betroffen sind. Die nach Ländern erfassten Daten zeigen statistisch, wo Menschen am häufigsten der Sicherheitslücke ausgesetzt sind. Japan ist demnach am meisten betroffen: 81% der Lookout-Nutzer in dieser Region nutzen einen unsicheren Browser. Spanien steht mit 73% an zweiter Stelle. In diesen Regionen werden Software-Updates für Smartphone und Tablets seltener durchgeführt, was zur Folge hat, dass die Geräte angreifbarer sind. In den USA ist das Risiko geringer, da das Durchschnittsalter der Geräte viel niedriger ist. Aus diesem Grund sind weniger Geräte in den USA angreifbar.
Sicherheitsforscher Rafay Baloch hat im September im AOSP-Browser zwei “SOP(same-origin policy)-Bugs” gefunden, die Sicherheitslücken zur Folge haben. Die Sicherheitslücken betreffen Android-Versionen bis einschließlich 4.3. Google hat den AOSP-Browser in Android 4.4 durch den moderneren Chrome-Browser mit mehr Features ersetzt. Nutzer der aktuellen Version brauchen sich also keine Sorgen zu machen.
Die SOP ist ein Meilenstein der Webbrowser-Sicherheit. Sie legt fest, dass Scripts von einer Herkunftsdomain ausschließlich mit Daten von dieser Domain interagieren können. Eine Webseite, die Inhalte von mehr als einer Website lädt und einbindet: beispielsweise Facebook-Daten auf die Seite lädt, die gerade besucht wird. Abhängig davon, welche Webseiten miteinander “vermischt” sind, werden so möglicherweise eine nicht-vertrauenswürdige Site und eine Webseite mit sensible Daten, beispielsweise die von Ihrem E-Mail-Anbieter, miteinander kombiniert. Wenn die SOP richtig funktioniert, bleibt die nicht-vertrauenswürdige Site außen vor und kann nicht auf sensible Daten der Nutzer-Webmail zugreifen. Wenn diese nicht-vertrauenswürdige Seite jedoch die SOP umgehen kann, ist sie in der Lage, mit dem DOM (http://de.wikipedia.org/wiki/Document_Object_Model) der vertrauenswürdigen Webseite zu interagieren und die E-Mail des Nutzers zu lesen oder gar E-Mails zu versenden.
Die möglichen Folgen liegen auf der Hand.
Es gibt Maßnahmen, die Nutzer jetzt durchführen können, um Daten beim Surfen im Internet zu schützen:
-Wenn Sie auf Ihrem Smartphone oder Tablet Android 4.3 oder eine ältere Version nutzen, führen Sie ein Update durch! Neuere Android-Versionen sind von dem Problem nicht betroffen.
-Wenn Sie ein Mobiltelefon haben, auf dem kein Betriebssystem-Update auf eine neuere Android-Version verfügbar ist, sollten Sie Ihr Gerät wenn möglich auf eine neuere, gepatchte Version upgraden.
-Laden Sie den Chrome-Browser oder Firefox herunter. Dies sind zwei modernere Browser, die nicht von der Sicherheitslücke betroffen sind und viele Funktionen haben.
-Wählen Sie Chrome oder Firefox als Ihren Standardbrowser zum Öffnen von Links. Dann müssen Sie sich keine Gedanken darüber machen, dass Apps den unsicheren Browser verwenden könnten.
So installieren Android-Nutzer den Chrome- oder Firefox-Browser auf einem Android-Gerät*:
1.Öffnen Sie Google Play auf Ihrem Smartphone oder Tablet und laden Sie die Chrome- oder Firefox-App herunter
2.Installieren Sie die Chrome- oder Firefox-App, wie Sie auch andere Anwendungen von Google Play installieren würden
3.Öffnen Sie Ihre Geräteeinstellungen
4.Gehen Sie in das Anwendungsmenü bzw. den Anwendungsmanager
5.Wählen Sie den Tabulator “Alle”
6.Wählen Sie den AOSP-Browser (auf den meisten Geräten wird dieser Punkt einfach nur “Internet” genannt)
7.Tippen Sie auf “Standardwerte löschen ”
8.Wenn Sie das nächste Mal eine URL anklicken, wird Ihr mobiles Gerät Sie fragen, mit welcher Anwendung die URL geöffnet werden soll. Wählen Sie den neuen Browser, den Sie heruntergeladen haben, und setzen Sie bei “immer” ein Häkchen, damit der Browser als Standardbrowser gespeichert wird.
*Manche Android-Geräte haben einen anderen, aber ähnlichen Prozess.
Über Lookout
Lookout schützt mit seinen Sicherheitslösungen Nutzer, Unternehmen und Netzwerke vor mobilen Bedrohungen. Mit der weltgrößten Schadsoftware-Datenbank und 50 Millionen Nutzern in 400 Mobilfunknetzen in 170 Ländern verhindert Lookout präventiv Betrug und ermöglicht Datensicherheit und -schutz. Das Unternehmen hat seinem Hauptsitz in San Francisco und eine Europa-Niederlassung in London. Es wird von zahlreichen renommierten Investoren finanziert, darunter die Deutsche Telekom, Qualcomm, Andreessen Horowitz, Khosla Venture oder Peter Thiels Fonds Mithril Capital. Lookout wurde vom Weltwirtschaftsforum als Technologie-Pioneer 2013 ausgezeichnet.
Kontakt
Lookout Mobile Security
Frau Alicia diVittorio
1 Front Street, Suite 2700
94111 San Francisco
089 211 871 36
lookout@schwartzpr.de
https://www.lookout.com/de