Eine Same-Origin-Policy-Lücke im Standard-Web-Browser (dem so genannten AOSP-Browser) von Android ermöglicht es Kriminellen, über eine mit bösartigem JavaScript-Code präparierte Webseite Zugriff auf Cookies und auf vertrauliche Daten (z.B. Banking oder Mailing) und auf alle Informationen und Daten von geöffneten Browser-Tabs zu erlangen.
Wie im Blog der Sicherheitsfirma Lookout zu lesen ist, sind sämtliche Geräte, auf denen Android vor Version 4.4 läuft, betroffen – das sind derzeit weltweit etwa die Hälfte aller Android-Nutzer!
Google hat inzwischen reagiert und liefert Patches aus, welche die Kompromittierung des AOSP-Browsers durch Javascript-URL-Handler unterbinden. Bis diese Patches jedoch in die Firmware eingebunden sind und dann in das Branding der Mobilfunkprovider einfließen, kann noch einige Zeit vergehen.
Als kurzfristige Abhilfe empfiehlt sich die Nutzung eines alternativen Web-Browsers, beispielsweise von Google Chrome oder Mozilla Firefox, die regelmäßig mit Sicherheitsupdates versorgt werden.
Siehe auch: