AOSP Sicherheitsleck: Android Browser speichert Passwörter im Klartext

Jens Herforth
1

Der Standardbrowser im Android Betriebssystem speichert Passwörter im Klartext! Im RootzwWiki Forum hat ein User (JBirdVegas) herausgefunden, dass der Standardbrowser die Passwörter in einer eigenen Datenbank ablegt. Per ADB oder einer passenden App kann man diese Datei auslesen und Benutzername und zugehöriges Passwort direkt einsehen. 

AOSP Sicherheitsleck: Android Browser speichert Passwörter im Klartext

Was auf den ersten Blick wie eine riesige Sicherheitslücke aussieht, ist auf dem zweiten Blick eigentlich gar nicht so schlimm. Die Datenbank, in der die Passwörter abgelegt werden, findet ihr unter: ‘/data/data/com.android.browser/databases/webview.db’.

Diesen Pfad könnt ihr entweder mit einem Dateiexplorer oder via ADB vom Computer aus öffnen. Beide Varianten setzen voraus, dass man sein System entweder gerootet oder die Debug-Funktion im System aktiviert hat. Beides ist nicht zu empfehlen, wenn man sich nicht genau mit den Folgen auskennt.

Ohne Root kann der Pfad der Passwort-Datenbank nicht aufgerufen werden und bietet somit auch keine Angriffsfläche für Angriffe von außen.

AOSP Browser Passowrt Speichern

Natürlich ist es wünschenswert die Passwörter in der Datenbank zu verschlüsseln. Der Fehler wurde bereits berichtet und an einem Fix wird (jedenfalls von AOKP) gearbeitet:

**PS** AOKP is already hard at work implementing a fix for our fork of the AOSP Browser package!

**Update**
Reported as Android Issue 52895
Hacker News thread

Auch wir empfehlen euch weiterhin nur dann euer System zu rooten, wenn ihr wisst, welche Folgen das haben kann. Eben solche Lücken können durch einen Rootzugang freigegeben werden und lassen Hackern viel Raum für Schabernack. Trotzdem: Auch wenn die Passwörter in einem normalen, unangetasteten System sichtbar gespeichert werden, so wird man ohne Root nicht an die Daten kommen. Sicherheit ist also für Normalsterbliche gegeben.

AOSP Android Browser speichert Passwörter im Klartext

Außer: Jemand klaut euer Smartphone, umgeht den Sicherheitscode im Lockscreen, öffnet die Datenbank oder schließt euer Gerät per ADB am Rechner an und liest dann alle Daten heraus. Für Menschen mit Feinden aus der IT-Branche würden wir also die Speicherung der Passwörter generell nicht empfehlen. Als Alternative bleibt da ja immer noch der Chrome Browser.

Quelle: RootzWiki
(Bild: Copyright via Shutterstock)

Neue Artikel von GIGA ANDROID

GIGA Marktplatz
}); });