Sicherheitslücke im Core-Browser von Android: Risiken, Beispiele aus der Praxis und wie man sie mindert

  • Der grundlegende WebKit-basierte Browser von Android weist einen Fehler auf, der das Lesen von Cookies, den Diebstahl von Passwörtern und die Ausführung von Aktionen ohne Warnung ermöglicht, wenn er nicht aktualisiert wird.
  • Zu den gängigen Mustern zählen die Ausweitung von Berechtigungen, XSS in der Symbolleiste, Missbrauch der automatischen Vervollständigung, Speicherlecks und JIT; sie betreffen Chrome, Safari und Firefox.
  • KI-gestützte Browser erhöhen das Risiko, indem sie Anweisungen in den Inhalt einfügen. Interaktion sollte erforderlich sein und die Berechtigungen sollten eingeschränkt sein.
  • Reduzieren Sie Ihr Risiko, indem Sie Ihr System und Ihren Browser aktualisieren, sichere Alternativen verwenden, 2FA implementieren, sicher surfen und bei Links vorsichtig sein.
Iván MartínAktualisiert am

6 Minuten

Sicherheitslücke im Android-Basisbrowser

Wenn Sie einer von denen sind, die die einfacher Android-Browser (die in vielen Terminals standardmäßig enthalten ist) und die auf Open Source WebKit basiert, sollten Sie wissen, dass darin eine Sicherheitslücke entdeckt wurde, die ausgenutzt werden kann, um nicht autorisierte Aktionen auszuführen, die die Sicherheit Ihres Terminals gefährden können .

Zunächst einmal muss man wissen, dass die Lücke den Basisbrowser betrifft, der im Betriebssystem enthalten war, bevor Google sich für Chrome entschied. Die Wahrheit ist jedoch, dass es eine große Anzahl von Benutzern gibt, die ihn immer noch regelmäßig verwenden (das ist eines der Probleme der Fragmentierung auf Android). Dies sind diejenigen, die Probleme haben können und der Prozentsatz kann leicht steigen, da einige auch Hersteller haben eigene Entwicklungen auf Basis von WebKit erstellt.

unsicher-android-cover

Tatsache ist, dass es unter Ausnutzung der bekannten Sicherheitslücke möglich ist, JavaScript-Code mit „Exploits“ auszuführen, Lesen Sie die Cookies vom Terminal aus, kennen gespeicherte Passwörter und können sogar E-Mails versenden. Und das alles, ohne dass der Benutzer etwas bestätigen muss. Dies wird laut seinem Entdecker (Rafael Baloch), wobei die Sicherheitsrichtlinie SOP (Same Origin Policy) umgangen wird, die vor der Ausführung nicht autorisierter Skripte mit dem Browser schützt. Die Schwachstelle besteht und muss daher berücksichtigt werden. Vorsicht beim Segeln für bestimmte Seiten.

Handelt es sich um eine sehr gefährliche Schwachstelle?

Wenn Sie die aktuellsten Android-Versionen verwenden, wie z KitKatist das Risiko nahezu nicht vorhanden (trotz der Tatsache, dass einige Teile des alten, betroffenen Browsers im Chrome-Browser verwendet werden), daher ist es wichtig, regelmäßig aktualisieren das Betriebssystem und dass die Hersteller sie schnell veröffentlichen.

Android-Sicherheit

In Anbetracht der historischen Nutzungsdaten sind nicht alle Geräte aktualisiert, so dass ein erheblicher Teil der Benutzer betroffen sein könnte (obwohl sie in der Lage sein sollten, sehr spezifischer Code auf den von ihnen besuchten Websites, was das potenzielle Risiko verringert). Fast alle von ihnen haben ältere Geräte und sind softwaremäßig nicht auf dem neuesten Stand.

Um die Reichweite zu bestimmen, sollte man bedenken, dass auf Mobilgeräten Chrome hat den größten Anteil (ungefähr zwei Drittel des Marktes), Safari hält etwas mehr als ein Fünftel, gefolgt von Browsern wie Samsung Internet, Opera und Firefox, die alle kleinere Anteile aufweisen. Diese Konzentration bedeutet, dass jeder Fehler bei Rendering-Engines, Funktionen wie der Autovervollständigung oder Netzwerkkomponenten erhebliche Auswirkungen hat, wenn der Benutzer nicht aktualisiert.

Welche Techniken nutzen Angreifer in mobilen Browsern aus?

Die am häufigsten ausgenutzten Vorfälle in mobilen Browsern entsprechen bekannten Mustern. Die Integration in Ihr Risikomodell hilft Ihnen bei der Entscheidung was zu deaktivieren und worauf Sie achten sollten:

  • Rechteerweiterung und Webauthentifizierung (z. B. WebAuthentication): Implementierungsfehler können die Installation von Malware mit bösartigem HTML, wie Berichte wie CVE-2024-9956 in Chrome für Android zeigen.
  • XSS und Schnittstelleninjektion (z. B. Omnibox/Multibox): Unzureichende Validierungen ermöglichen es einem Angreifer, nach der Auslösung bestimmter UI-Gesten, Skripte einfügen oder HTML (typischer Fall von CVE-2024-8907).
  • Missbrauch der automatischen Vervollständigung– Gefälschte Seiten können die Autovervollständigung ausnutzen, um Daten zu exfiltrieren (wie in CVE-2024-8639 beschrieben).
  • Dienste zur Bereitstellung von Inhalten (z. B. Chrome Media Router/Chromecast): Diese könnten für Remote-Aktionen ausgenutzt werden, wenn der Browser nicht aktualisiert wird (wie in CVE-2024-8637 dokumentiert).
  • Benutzerdefinierte Registerkarten: Managementfehler ermöglichen Öffnen Sie Tausende von Tabs oder Denial-of-Service-Bedingungen erzeugen (CVE-2024-8034-Familie).
  • Speicherbeschädigung und Statusverwaltung (Safari/WebKit): Speicherfehler können vertrauliche Informationen offenlegen, den Datenverkehr unterbrechen oder DoS- und Cookie-Lecks verursachen (Fälle wie CVE-2024-54534, CVE-2024-54508, CVE-2024-54505, CVE-2024-44309 und CVE-2024-44259).
  • Speichersicherheitsfehler, JIT und OOM (Firefox/Gecko): Speicher-, Animations- oder JIT-Bedingungen können zu Codeausführung o Clickjacking in Datei-Uploads (CVE-2024-9680, CVE-2024-9936, CVE-2024-9397, CVE-2024-9403, CVE-2024-9400).

Die technische Schlussfolgerung ist klar: Wenn der Browser oder seine Engine nicht gepatcht ist, jeder alltägliche Vektor (Formulare ausfüllen, eine benutzerdefinierte Registerkarte öffnen, die automatische Vervollständigung verwenden oder Inhalte an ein anderes Gerät senden) kann zu einem Gateway werden.

KI-Browser: Neue Angriffsfläche

„Agentenbasierte“ Browser mit KI versprechen die Automatisierung von Aufgaben (Seitenzusammenfassung, Kaufabschluss, Beantwortung von E-Mails), bergen aber auch Risiken: Ein Angreifer kann Injektionsanweisungen bösartige Inhalte, die die KI beim Zusammenfassen oder Analysieren einer Seite ausführen kann. Forscher zeigten, dass versteckte Kommentare oder unsichtbarer Text in Foren einen KI-Browser dazu veranlassen könnten, Anmeldeinformationen offen legen oder Aktionen ohne explizite Bestätigung ausführen.

Von der Branche empfohlene Abhilfemaßnahmen: Benutzeranfragen strikt von nicht vertrauenswürdigen Site-Inhalten trennen, Nachfrageinteraktion Menschen für sensible Aktionen (Zugriff auf Passwörter, Senden von E-Mails), Einschränkung der Agentenberechtigungen und Verstärkung der zweistufigen Verifizierung mit Authentifizierungs-Apps.

Ein Problem mit einer Lösung

Angesichts dieser Möglichkeiten kann die Sicherheitslücke als schwerwiegend eingestuft werden. Benutzer haben jedoch eine einfache Lösung. Da der Fehler Computer mit dem Basisbrowser betrifft, kann er durch die Installation und Verwendung von andere BrowserBeispiele hierfür sind Chrome, Firefox oder Dolphin. Google hat gemeldet, dass das Problem reproduziert wurde und arbeitet an einer Lösung. Darüber hinaus reduziert eine kontrollierte Nutzung der aufgerufenen Seiten die Risiken nahezu vollständig. Es ist ein neue Folge von Sicherheitsproblemen im Google-Betriebssystem.

Neben dem Wechseln des Browsers sollten Sie auch folgende Vorgehensweisen anwenden: Android und Apps aktualisiert; Deaktivieren Sie die automatische Vervollständigung auf zweifelhaften Websites; überprüfen Sie Erweiterungs- und Push-Berechtigungen; vermeiden Sie APKs aus nicht vertrauenswürdigen Quellen; aktivieren Sie den Phishing-Schutz; und verwenden Sie 2FA für kritische Dienste.

Kürzlich wurde eine Sicherheitslücke in Chrome für Android entdeckt, die jedes Android-Gerät gefährden könnte. Erfahren Sie hier mehr darüber.

Die Sicherheit unserer elektronischen Geräte ist ein Thema, das im Laufe der Zeit immer relevanter geworden ist, da viele unserer persönlichen Daten aufgedeckt werden kann. Auf einer Sicherheitskonferenz demonstrierte ein Forscher eine Schwachstelle in Chrome, die die meisten Android-Geräte betreffen kann, selbst aktuelle: Ein Benutzer muss lediglich eine infizierte Website besuchen, damit der Angreifer die Kontrolle übernimmt.

„Das Beeindruckende an diesem Exploit ist, dass er mit einem einzigen Angriff funktioniert; die meisten Exploits erfordern mehrere Schwachstellen, um privilegierten Zugriff zu erhalten und Software ohne Interaktion zu installieren“, erklärte der Veranstalter. Aus Sicherheitsgründen wurde die Methode nicht bekannt gegeben, aber es wurde detailliert beschrieben, dass eine einzige Schwachstelle in der JavaScript-Engine ausreichte, um eine App installieren ohne dass der Benutzer es merkt und somit die Kontrolle über das Gerät übernimmt.

Google ergriff Maßnahmen, und der Urheber der Entdeckung kontaktierte Sicherheitsbeamte und bewarb sich für Prämienprogramme für Sicherheitslücken. In der Zwischenzeit ist es ratsam, mit Links äußerst vorsichtig zu sein. Vermeiden Sie nicht vertrauenswürdige Websites und aktualisieren Sie Chrome, sobald Patches verfügbar sind.

Quelle: ArsTechnica.

Die Kombination aus einem veralteten Basisbrowser, erweiterten Funktionen wie AutoFill, benutzerdefinierten Tabs oder KI-Agenten und unsicheren Gewohnheiten kann das Risiko verstärken; halten Sie Ihre Software auf dem neuesten Stand, verwenden Sie robuste Browser und wenden Sie gute Praxis reduziert die Angriffsfläche drastisch.