Im beliebten Open Source Android – Betriebssystem für Smartphones ist eine Sicherheitslücke entdeckt worden über die es möglich sein soll lokale Nutzerdaten auszulesen. Der Sicherheitsexperte Thomas Cannon will diese Sicherheitslücke in Android entdeckt haben.
Über präparierte Internetseiten soll es Angreifern möglich sein auf lokale Dateien des Anwenders zuzugreifen und diese auszulesen. Entdeckt hatte Cannon die Lücke auf einem HTC Desire mit Android 2.2 allerdings hat heise security die Lücke ebenfalls bestätigt und konnte diese auf einem Google Nexus One und auf einem Samsung Galaxy Tab reproduzieren. Zwar kann über die Lücke kein Zugriff auf Systemdateien und Systemverzeichnisse erlangt werden, doch durch den Zugriff auf die Benutzerverzeichnisse können zahlreiche private Details abgegriffen werden. Der Angreifer muß, um zum Beispiel auf Fotos zuzugreifen, den exakten Pfad kennen, einschließlich der fortlaufenden Dateinummer. Dies ist jedoch nicht besonders schwierig.
Wird eine URL, die zu einer präparierten Webseite führt, geöffnet, sendet der Server der Hacker eine mit JavaScript versehene HTML Datei an den Browser. Das führt dazu, daß der Browser automatisch eine Datei herunterlädt und diese mit lokalen Rechten ausführt. Die gesamten Benutzerdaten können dann im Hintergrund an den Server der Angreifer übermittelt werden.
Um sich vor dieser Gefahr teilweise zu schützen hilft bislang nur die Deaktivierung von JavaScript auf dem Smartphone. Doch dies bietet keinen vollständigen Schutz. Eine infizierte Datei kann auch via E-Mail ins System eingeschleust werden. Es liegt also am Nutzer, größte Sorgfalt walten zu lassen.
Google erklärte zwischenzeitlich, daß man sich um dieses Problem kümmern werde.
Popularity: 2%
Loading ...
