Android-Sicherheitslücke: Situation normal, alles im Eimer?

Frank Ritter

Derzeit macht die Kunde einer Sicherheitslücke im Standard-Browser von Android die Runde. Unter Ausnutzung eines Bugs im Browser kann ein Angreifer Zugriff auf Dateien erhalten, die auf dem System gespeichert sind und diese an eine beliebige Stelle im Netz senden. Warum der Fehler weniger schlimm als angenommen, aber dennoch ein Indikator für ein generelles Problem in Android ist.

Android-Sicherheitslücke: Situation normal, alles im Eimer?

Sicherheitsexperte Thomas Cannon hatte die Lücke zufällig entdeckt. Das Konzept sieht vor, dass mithilfe von JavaScript eine präparierte HTML-Datei heruntergeladen werden kann, die daraufhin lokal aufgerufen wird und dewegen mehr Rechte hat. Über diese HTML-Datei kann eine lokale Datei ins Netz versendet werden. Ebenfalls HTML-Dateien aus anderen Quellen, etwa Download-Archive, E-Mail-Anhänge oder ähnlich sind als Gefahrenquelle möglich, alle Android-Versionen sind betroffen. Dieses Video zeigt einen Proof-of-Concept:

Das Android-Sicherheitsteam wurde über die Lücke informiert und arbeitet derzeit an einem Fix. Dieser soll laut einer Stellungnahme der Android-Entwickler jedoch erst mit Android 2.3 “Gingerbread” ausgeliefert werden.

Die Gefahr durch diese spezifische Lücke ist nach unserem Dafürhalten recht gering. Es müssen mehrere Faktoren eintreffen, damit sie Schaden verursachen kann:

  • Der Nutzer muss die präparierte Datei öffnen, etwa durch den Besuch einer präparierten Webseite.
  • Der Nutzer muss den Stock-Browser verwenden, in dem JavaScript aktiv ist.
  • Die HTML-Datei des Angreifers muss Daten “anfordern”, die nicht in Systemverzeichnissen, sondern auf der SD-Karte liegen liegen und
  • deren genauer Verzeichnis-/Dateiname bekannt ist.

Summa summarum: Auch wenn die Lücke ernst ist, ist die Gefahr, Opfer einer Attacke unter deren Ausnutzung zu werden, relativ gering. Nichtsdestotrotz zeigt sie ein generelles Problem von Android auf: Die Aufteilung von Apps in System-Apps und von Benutzern installierte Apps.

Während letztere ohne große Probleme vom Nutzer über die in den Market integrierte Funktion aktualisiert und somit auch größere Sicherheitslücken im Nu gestopft werden können, muss man für Updates von Applikationen, die “nah am System” sind, zumeist auf eine neue Android-Version warten. Da der offizielle Update-Zyklus sowieso für viele Geräte bei Froyo endet, besteht die Gefahr, dass eine Menge Android-Browser in aller Welt ungepatcht bleiben.

Nicht nur eine sicherheitskritische Anwendungen wie der Android-Browser sind von der Problematik betroffen, sondern auch andere Apps. Beispiele sind etwa die Galerie oder der Android-Mail-Client, bei denen kürzlich Bugs für grotesken Stromverbrauch im Samsung Galaxy S sorgten. Eine einfaches Update hätte da, zumindest bei der Galerie für Linderung gesorgt. Weil die Apps aber starr mit dem System verdrahtet sind, ist ein Update nur per OTA (Over the Air) oder Android-Aktualisierung möglich.

Schade, denn Google hat zwischenzeitlich mit Feature-Updates bei Maps, Google Mail und weiteren Standard-Anwendungen bewiesen, dass es prinzipiell geht, System-Apps zu aktualisieren – warum das ausgerechnet mit dem Browser nicht möglich sein sollte, ist unklar.

Weitere Themen: Android

Neue Artikel von GIGA ANDROID

GIGA Marktplatz