In Androids Open-Source-Browser (AOSP) wurde vor kurzem eine Sicherheitslücke entdeckt, die es bösartigen Webseiten ermöglicht, die Inhalte anderer geöffneter Seiten auszulesen.
Das entsprechende Bug – CVE-2014-6014 – betrifft Android-Betriebssysteme unterhalb der Version 4.4 (KitKat) und könnte laut Google für rund 75 Prozent der Android-Nutzer weitreichende Folgen haben. Denn die Schwachstelle ermöglicht es Angreifern, einen zentralen Sicherheitsmechanismus zu umgehen – die sogenannte Same-Origin-Policy – und auf Inhalte von geöffneten Webseiten zuzugreifen.
„Jede beliebige Seite (z.B. eine, die von einem Spammer oder einem Spion kontrolliert wird) kann die Inhalte jeder anderen Webseite ausspionieren. Stell dir vor, du gehst auf die Seite eines Angreifers und hast währenddessen in einem anderen Fenster deinen E-Mail-Dienst geöffnet – der Angreifer könnte deine E-Mail-Informationen abfangen und sehen, was in deinem Browser angezeigt wird. Noch schlimmer, er könnte eine Kopie deines Session-Cookies machen und die Sitzung komplett übernehmen“, erklärt Tod Beardsley von Rapid7.
Was bedeutet Same-Origin-Policy?
Bei der Same-Origin-Policy (SOP) handelt es sich um ein Sicherheitskonzept für clientseitige Skriptsprachen, mit dem verhindert werden soll, dass Webseiten auf Objekte zugreifen, die von einer anderen Seite stammen oder deren Speicherort nicht der „Origin“ (Ursprung) entsprechen. Die grundlegende Idee hinter diesem Mechanismus ist, dass der Javaskript-Code einer bestimmten Seite nicht auf Eigenschaften von anderen Quellen zugreifen kann.
Hierdurch wird eigentlich sichergestellt, dass der Browser Inhalten nicht traut, die von anderen Orten geladen werden. Zudem können Webseiten, die in einer Sandbox laufen, keine Verbindung zu anderen Quellen aufnehmen. Ohne diesen Schutz sind die Vertraulichkeit und die Integrität einer Webseite jedoch gefährdet, sodass sie von einer schädlichen Seite kompromittiert werden könnte.
Das Bug ermöglicht es, durch einen modifizierten Javaskript-Code, bei welchem dem URL-Handler ein Null-Byte vorangestellt wird, die SOP als Sicherheitskontrolle beim AOSP-Browser zu umgehen, erklärt Beardsley. Dadurch kann eine Seite dann Informationen von einer anderen Quelle auslesen, unter anderem z.B. Eigenschaften wie Cookies oder Speicherstellen.
Die technischen Details findest du im Blog von Rafay Baloch, der bereits Anfang September die Sicherheitslücke entdeckt hat. Er hat die Methode auf verschiedenen Geräten getestet – einschließlich Sony Xperia, Samsung Galaxy S3, HTC Wildfire und Motorola Razr – und dabei herausgefunden, dass der Fehler bei allen Geräten auftritt, die auf einer Android-Version unterhalb 4.4 laufen.
Wie auf der Seite ArsTechnica berichtet wurde, hat sich Google bereits mit dem Problem befasst und folgende Stellungnahme formuliert: „Wir haben uns den Bericht angesehen und raten allen Android-Nutzern, Chrome als Browser zu verwenden. Diejenigen, die Android 4.4 oder eine neuere Version verwenden, sind nicht betroffen. Für frühere Versionen von Android haben wir Patches für den Open-Source-Browser bereitgestellt (1, 2).