| Experten 7. Oktober 2014


7. Oktober 2014

Der Android-Browser als Einfallstor für mobile Malware

By Jeremy Linden, Meghan Kelly

Vergangenen Monat haben wir von zwei Sicherheitslücken erfahren, die den Browser des Android Open Source Project (kurz AOSP-Browser) betreffen. Das aktuelle Problem ist jedoch weitreichender und betrifft nicht nur den AOSP-Browser, sondern auch Browser, die auf dem AOSP-Code basieren – wie beispielsweise der Samsung-Browser.
Das Problem ist innerhalb unserer Nutzer recht weit verbreitet.
Knapp 45% aller Lookout-Nutzer haben eine angreifbare Version des AOSP-Browsers auf ihren Geräten. Wir möchten an dieser Stelle darauf hinweisen werden, dass diese Nutzer möglicherweise noch einen separaten Browser wie Chrome oder Firefox auf dem Gerät installiert haben. Solange die Sicherheitslücke im AOSP-Browser nicht behoben ist, setzen Nutzer ihre Daten aufs Spiel, da betrügerische Angreifer diese Daten stehlen und Zugriff auf authentifizierte Nutzer-Sessions bekommen können. Mit anderen Worten: Die Angreifer können auf den besuchten Seiten beliebige Aktionen ausführen, die normalerweise nur dem Nutzer vorbehalten sind.
Unsere umfangreiche Datenbank zeigt auf, in wieweit Android-Nutzer im Allgemeinen von Sicherheitslücken betroffen sind. Die nach Ländern erfassten Daten zeigen statistisch, wo Menschen am häufigsten der Sicherheitslücke ausgesetzt sind. Japan ist demnach am meisten betroffen: 81% der Lookout-Nutzer in dieser Region nutzen einen unsicheren Browser. Spanien steht mit 73% an zweiter Stelle. In diesen Regionen werden Software-Updates für Smartphone und Tablets seltener durchgeführt, was zur Folge hat, dass die Geräte angreifbarer sind. In den USA ist das Risiko geringer, da das Durchschnittsalter der Geräte viel niedriger ist. Aus diesem Grund sind weniger Geräte in den USA angreifbar. aosp Sicherheitsforscher Rafay Baloch hat im September im AOSP-Browser zwei “SOP(same-origin policy)-Bugs“ gefunden, die Sicherheitslücken zur Folge haben (Mehr darüber finden Sie unter CVE-2014-6041). Die Sicherheitslücken betreffen Android-Versionen bis einschließlich 4.3. Google hat den AOSP-Browser in Android 4.4 durch den moderneren Chrome-Browser mit mehr Features ersetzt. Nutzer der aktuellen Version brauchen sich also keine Sorgen zu machen.
Die SOP ist ein Meilenstein der Webbrowser-Sicherheit. Sie legt fest, dass Scripts von einer Herkunftsdomain ausschließlich mit Daten von dieser Domain interagieren können. Zur besseren Veranschaulichung stellen Sie sich eine Webseite vor, die Inhalte von mehr als einer Website lädt und einbindet. Nehmen wir zum Beispiel eine Website, die Facebook-Daten auf die Seite lädt, die Sie gerade besuchen. Abhängig davon, welche Webseiten miteinander “vermischt“ sind, werden so möglicherweise eine nicht-vertrauenswürdige Site und eine Webseite mit sensible Daten, beispielsweise die von Ihrem E-Mail-Anbieter, miteinander kombiniert. Wenn die SOP richtig funktioniert, bleibt die nicht-vertrauenswürdige Site außen vor und kann nicht auf sensible Daten der Nutzer-Webmail zugreifen. Wenn diese nicht-vertrauenswürdige Site jedoch die SOP umgehen kann, ist sie in der Lage, mit dem DOM der vertrauenswürdigen Site zu interagieren und die E-Mail des Nutzers zu lesen oder gar E-Mails zu versenden.
Die möglichen Folgen liegen auf der Hand.
Es gibt Maßnahmen, die Sie jetzt durchführen können, um Ihre Daten beim Surfen im Internet zu schützen:
  • Wenn Sie auf Ihrem Smartphone oder Tablet Android 4.3 oder eine ältere Version nutzen, führen Sie ein Update durch! Neuere Android-Versionen sind von dem Problem nicht betroffen.
  • Wenn Sie ein Mobiltelefon haben, auf dem kein Betriebssystem-Update auf eine neuere Android-Version verfügbar ist, sollten Sie Ihr Gerät wenn möglich auf eine neuere, gepatchte Version upgraden.
  • Laden Sie den Chrome-Browser oder Firefox herunter. Dies sind zwei modernere Browser, die nicht von der Sicherheitslücke betroffen sind und viele Funktionen haben.
  • Wählen Sie Chrome oder Firefox als Ihren Standardbrowser zum Öffnen von Links. Dann müssen Sie sich keine Gedanken darüber machen, dass Apps den unsicheren Browser verwenden könnten.
So installieren Sie den Chrome- oder Firefox-Browser auf Ihrem Android-Gerät*:
  1. Öffnen Sie Google Play auf Ihrem Smartphone oder Tablet und laden Sie die Chrome- oder Firefox-App herunter
  2. Installieren Sie die Chrome- oder Firefox-App, wie Sie auch andere Anwendungen von Google Play installieren würden
  3. Öffnen Sie Ihre Geräteeinstellungen
  4. Gehen Sie in das Anwendungsmenü bzw. den Anwendungsmanager
  5. Wählen Sie den Tabulator “Alle”
  6. Wählen Sie den AOSP-Browser (auf den meisten Geräten wird dieser Punkt einfach nur “Internet” genannt)
  7. Tippen Sie auf “Standardwerte löschen ”
  8. Wenn Sie das nächste Mal eine URL anklicken, wird Ihr mobiles Gerät Sie fragen, mit welcher Anwendung die URL geöffnet werden soll. Wählen Sie den neuen Browser, den Sie heruntergeladen haben, und setzen Sie bei “immer” ein Häkchen, damit der Browser als Standardbrowser gespeichert wird.
*Manche Android-Geräte haben einen anderen, aber ähnlichen Prozess.  

Autor

Jeremy Linden,
Jeremy Linden


Autor

Meghan Kelly,
Senior Manager, Content Marketing