Webview

Android-Sicherheitslücke ermöglichte unbemerkte App-Installation

16.02.2015
Die Webview-Sicherheitslücke in Android zieht weitere Kreise. Ein Exploit in älteren Android-Versionen machte es möglich, dass Apps ungefragt auf dem eigenen Smartphone installiert werden. Schließen will Google die Lücke zwar nicht mehr, dafür aber einige Gegenmaßnahmen ergreifen.
Foto: AKS - Fotolia.com

Die vor einigen Wochen bekannt gewordene Webview-Sicherheitslücke unter Android ermöglicht es Webseiten, ungefragt Android-Apps aus dem Google Play Store zu installieren und auszuführen. Wie der Sicherheitsexperte Tod Beardsley in einem Blogpost auf Rapid7 anhand von Beispielen mit Javascript und Ruby demonstriert, wird dafür das Universal Cross-site scripting (UXSS) genutzt. Dieses Script emöglicht einer bösartigen Webseite eine andere Seite fernzusteuern. Im beschriebenen Szenario nutzte eine dieser Webseiten die Sicherheitslücke im Google Play Store aus, indem sie diesen unbemerkt aufruft und eine App installiert. Voraussetzung ist, dass der Nutzer in diesen Dienst im Standard-Browser, erkennbar am Symbol mit der blauen Weltkugel, eingeloggt ist. Nach der Installation wird die Applikation dann direkt gestartet.

Die Sicherheitslücke wurde, zumindest für das Play-Store-Szenario, bereits provisorisch geflickt. Nun wird beim Versuch die Exploit-Seite aufzurufen eine Fehlermeldung ausgegeben, in der darauf verwiesen wird, dass der eingesetzte Browser nicht weiter unterstützt wird. Das Grundproblem, dass das UXSS für ähnliche Angriffe ausgenutzt werden kann, besteht jedoch weiterhin. Immerhin sind laut aktueller Statistik fast 60 Prozent der Android-Nutzer davon betroffen. Google rät unterdessen seinen Nutzern auf einen alternativen Browser wie Chrome oder Firefox zu wechseln. Tod Beardsley selbst empfiehlt in diesem Zusammenhang auch, nicht mit dem Google-Account im Browser eingeloggt zu sein.

Die Sicherheitslücke ist seit Januar bekannt und wird nach Aussage von Google auch nicht geschlossen. Das Unternehmen verweist darauf, dass die Zahl der Betroffenen immer weiter sinkt, da "jeden Tag mehr Leute ein Update vornehmen oder ein neues Gerät bekommen" - anfällig sind nur Geräte bis Android 4.3 Jelly Bean, ab Android 4.4 Kitkat setzt Google auf die Chromium-Engine. Außerdem stünden die Hersteller in der Pflicht, für Updates auf die aktuellste Android-Version auf ihren Geräten zu sorgen.

Bei der Nutzung eines alternativen Browsers wie Chrome, Firefox, Dolphin oder Opera wird zwar die eigene Rendering-Engine genutzt, einige Android-Apps setzen aber trotzdem weiter auf Webview, um Werbung einzublenden oder In-Game-Shops zu öffnen.

powered by AreaMobile