Schwere Sicherheitslücke: Beliebter Android-Browser eine große Gefahr

Simon Stich

Über 600 Millionen mal installiert: Ein beliebter Browser für Android-Smartphones ist nach Einschätzung von Dr. Web Antivirus nicht sicher. Über eine versteckte Funktion können Angreifer seit Jahren eigene Komponenten auf den Handys der Nutzer installieren und so sensible Daten abgreifen. Die Entwickler schweigen – und Google bietet die App weiter an.

Schwere Sicherheitslücke: Beliebter Android-Browser eine große Gefahr
Bildquelle: GIGA - Google Play Store.

UC Browser und UC Browser Mini seit Jahren unsicher

Nahezu beste Bewertungen, sehr verbreitet und doch einfach zu überlisten: Die kostenlose App UC Browser verfügt nach Einschätzung der Sicherheitsexperten von Dr. Web Antivirus über eine schwerwiegende Sicherheitslücke, die seit Jahren nicht beseitigt wurde.

Der Browser, der vor allem in China und Indien bekannt ist, verstoße gegen Richtlinien des Play Stores, ist dort aber weiterhin zu finden. Die Entwickler der App sind über die Sicherheitslücke informiert worden, haben sich bislang aber noch nicht zu dem Thema geäußert. Ein Update des Browsers steht aktuell auch nicht zur Verfügung. Google als Betreiber des Play Store wurde ebenfalls informiert, bietet die App aber weiterhin als Download an. Auch die schlankere Variante namens UC Browser Mini ist von dem Problem betroffen.

Dr. Web Antivirus ist laut WinFuture aufgefallen, dass nachträglich installierte Komponenten des Browsers ohne jede Verschlüsselung oder Signatur installiert und ausgeführt werden können. Erweiterungen lassen sich also ohne Wissen des Nutzers auf ihrem Smartphone platzieren. Ein Man-in-the-Middle-Angriff ist durch die Nutzung von HTTP statt HTTPS möglich. Über extern heruntergeladene Plugins wird auch der vom Play Store bereitgestellte Schutz vor Angriffen umgangen.

Im Test konnte gezeigt werden, wie eine ausführbare Linux-Bibliothek von einem externen Server im Browser platziert wurde. Die Bibliothek wurde im Verzeichnis der App gespeichert und ausgeführt, ohne zumindest eine Warnung anzuzeigen. Den Sicherheitsexperten zufolge kann sich ohne Wissen des Nutzers beliebiger Code im Browser einnisten.

Einen Überblick zu alternativen Android-Browsers findet ihr in der Bilderstrecke:

Bilderstrecke starten
7 Bilder
Die besten Android-Browser.

Angreifer können Smartphone ausspähen

Da der Browser selbst nicht überprüft, welche Erweiterungen geladen werden, stehen vielfältige Angriffsmöglichkeiten zur Verfügung. Angreifer können Trojaner einschleusen, um auf Daten des Browsers zuzugreifen. Auch Passwörter können ausgelesen werden.

Zum jetzigen Zeitpunkt ist noch völlig unklar, ob und inwieweit Angreifer die Schwachstelle des UC Browsers ausgenutzt haben. Dass bislang kein Update der App bereitgestellt wurde und die informierten Entwickler zu dem Thema schweigen, macht es natürlich auch nicht besser. Aktuell ist von einer Nutzung des UC Browsers deutlich abzuraten. Die App sollte aus Gründen der Sicherheit vom Smartphone entfernt werden und stattdessen auf einen alternativen Browser gesetzt werden.

Zu den Kommentaren

Kommentare zu dieser News

* Werbung