1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Cookie-Klau durch Lücken im Android-Browser

Dieses Thema im Forum "Hardware & Software News" wurde erstellt von Bastisdad, 4. August 2011.

  1. Bastisdad
    Offline

    Bastisdad VIP

    Registriert:
    2. Dezember 2007
    Beiträge:
    2.530
    Zustimmungen:
    1.896
    Punkte für Erfolge:
    0
    Ort:
    in der Nähe von
    Cookie-Klau durch Lücken im Android-Browser



    IBM-Forscher haben zwei Sicherheitslücken im Webbrowser von Android

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , durch die bösartige Apps Cookies stehlen können. So könnte eine App etwa das Facebook-Cookie auslesen und an einen fremden Server übermitteln, womit der Angreifer Zugriff auf das Facebook-Konto hätte. Normalerweise ist es im Rechtemodell von Android nicht vorgesehen, dass Apps Browsercookies auslesen können.


    Bei der ersten Lücke öffnet die App so viele Browsertabs im Android-Browser, bis die maximale Anzahl erreicht ist. Öffnet die App nun noch eine javascript://-URL, wird der darin enthaltene JavaScript-Code im Kontext der zuletzt geöffneten Seite ausgeführt. Das Prinzip ist der zweiten Lücke ist ähnlich, allerdings beruht sie auf geschicktem Timing: Öffnet die App mit geringem zeitlichen Abstand die Zielseite und die javascript://-URL, wird der JavaScript-Code noch im Kontext der zuvor geöffneten Seite ausgeführt. Die Forscher haben in ihrem Paper einen Proof-Of-Concept veröffentlicht, der das Problem demonstriert.


    Nur solche Nutzer sind gefährdet, die eine App installiert haben, die die beschrieben Schwachstellen ausnutzt. Dazu müsste der Angreifer seine App an Googles Kontrollen vorbei in den Android Market schleusen oder sie Android-Nutzern als APK-Datei am Market vorbei anbieten. Laut den Forschern sind die Android-Versionen 2.3.4 und 3.1 anfällig, allerdings sei nicht auszuschließen, dass auch ältere Versionen die Schwachstellen aufweisen. Google hat bereits reagiert und die Lücken mit Android 2.3.5 und 3.2 geschlossen. Man sollte seine Geräte daher umgehend auf den neuesten Stand bringen – sofern der Hersteller ein Update anbietet.

    Q.: heise online
     
    #1

Diese Seite empfehlen