Knapp 45% aller Lookout-Nutzer haben eine angreifbare Version des AOSP-Browsers auf ihren Geräten. Solange die Sicherheitslücke im AOSP-Browser nicht behoben ist, setzen Nutzer ihre Daten aufs Spiel, da betrügerische Angreifer diese Daten stehlen und Zugriff auf authentifizierte Nutzer-Sessions bekommen können. Mit anderen Worten: Die Angreifer können auf den besuchten Seiten beliebige Aktionen ausführen, die normalerweise nur dem Nutzer vorbehalten sind. Bis zur Behebung der Lücke sollte ein alternativer Browser, wie Firefox, genutzt werden.

 

Die Datenbank der Experten zeigt auf, in wieweit Android-Nutzer von Sicherheitslücken betroffen sind. Die nach Ländern erfassten Daten zeigen statistisch, wo Menschen am häufigsten der Sicherheitslücke ausgesetzt sind. Japan ist demnach am meisten betroffen: 81% der Lookout-Nutzer in dieser Region nutzen einen unsicheren Browser. Spanien steht mit 73% an zweiter Stelle. In diesen Regionen werden Software-Updates für Smartphone und Tablets seltener durchgeführt, was zur Folge hat, dass die Geräte angreifbarer sind. In den USA ist das Risiko geringer, da das Durchschnittsalter der Geräte viel niedriger ist. Aus diesem Grund sind weniger Geräte in den USA angreifbar.

 

Sicherheitsforscher Rafay Baloch hat im September im AOSP-Browser zwei “SOP(same-origin policy)-Bugs“ gefunden, die Sicherheitslücken zur Folge haben. Die Sicherheitslücken betreffen Android-Versionen bis einschließlich 4.3. Google hat den AOSP-Browser in Android 4.4 durch den moderneren Chrome-Browser mit mehr Features ersetzt. Nutzer der aktuellen Version brauchen sich also keine Sorgen zu machen. Die SOP ist ein Meilenstein der Webbrowser-Sicherheit. Sie legt fest, dass Scripts von einer Herkunftsdomain ausschließlich mit Daten von dieser Domain interagieren können. Zur besseren Veranschaulichung stellen Sie sich eine Webseite vor, die Inhalte von mehr als einer Website lädt und einbindet. Nehmen wir zum Beispiel eine Website, die Facebook-Daten auf die Seite lädt, die Sie gerade besuchen. Abhängig davon, welche Webseiten miteinander “vermischt“ sind, werden so möglicherweise eine nicht-vertrauenswürdige Site und eine Webseite mit sensible Daten, beispielsweise die von Ihrem E-Mail-Anbieter, miteinander kombiniert. Wenn die SOP richtig funktioniert, bleibt die nicht-vertrauenswürdige Site außen vor und kann nicht auf sensible Daten der Nutzer-Webmail zugreifen. Wenn diese nicht-vertrauenswürdige Site jedoch die SOP umgehen kann, ist sie in der Lage, mit dem DOM der vertrauenswürdigen Site zu interagieren und die E-Mail des Nutzers zu lesen oder gar E-Mails zu versenden.

 

Es gibt Maßnahmen, die jetzt durchgeführt werden können, um die Daten beim Surfen im Internet zu schützen:

 

• Wenn Sie auf Ihrem Smartphone oder Tablet Android 4.3 oder eine ältere Version nutzen, führen Sie ein Update durch! Neuere Android-Versionen sind von dem Problem nicht betroffen.

 

• Wenn Sie ein Mobiltelefon haben, auf dem kein Betriebssystem-Update auf eine neuere Android-Version verfügbar ist, sollten Sie Ihr Gerät wenn möglich auf eine neuere, gepatchte Version upgraden.

 

• Laden Sie den Chrome-Browser oder Firefox herunter. Dies sind zwei modernere Browser, die nicht von der Sicherheitslücke betroffen sind und viele Funktionen haben.

 

• Wählen Sie Chrome oder Firefox als Ihren Standardbrowser zum Öffnen von Links. Dann müssen Sie sich keine Gedanken darüber machen, dass Apps den unsicheren Browser verwenden könnten.

 

So installieren Sie den Chrome- oder Firefox-Browser auf Ihrem Android-Gerät:

1. Öffnen Sie Google Play auf Ihrem Smartphone oder Tablet und laden Sie die Chrome- oder Firefox-App herunter

2. Installieren Sie die Chrome- oder Firefox-App, wie Sie auch andere Anwendungen von Google Play installieren würden

3. Öffnen Sie Ihre Geräteeinstellungen

4. Gehen Sie in das Anwendungsmenü bzw. den Anwendungsmanager

5. Wählen Sie den Tabulator “Alle”

6. Wählen Sie den AOSP-Browser (auf den meisten Geräten wird dieser Punkt einfach nur “Internet” genannt)

7. Tippen Sie auf “Standardwerte löschen ”

8. Wenn Sie das nächste Mal eine URL anklicken, wird Ihr mobiles Gerät Sie fragen, mit welcher Anwendung die URL geöffnet werden soll. Wählen Sie den neuen Browser, den Sie heruntergeladen haben, und setzen Sie bei “immer” ein Häkchen, damit der Browser als Standardbrowser gespeichert wird.