Webview
Android-Sicherheitslücke ermöglichte unbemerkte App-Installation
Die vor einigen Wochen bekannt gewordene Webview-Sicherheitslücke unter Android ermöglicht es Webseiten, ungefragt Android-Apps aus dem Google Play Store zu installieren und auszuführen. Wie der Sicherheitsexperte Tod Beardsley in einem Blogpost auf Rapid7 anhand von Beispielen mit Javascript und Ruby demonstriert, wird dafür das Universal Cross-site scripting (UXSS) genutzt. Dieses Script emöglicht einer bösartigen Webseite eine andere Seite fernzusteuern. Im beschriebenen Szenario nutzte eine dieser Webseiten die Sicherheitslücke im Google Play Store aus, indem sie diesen unbemerkt aufruft und eine App installiert. Voraussetzung ist, dass der Nutzer in diesen Dienst im Standard-Browser, erkennbar am Symbol mit der blauen Weltkugel, eingeloggt ist. Nach der Installation wird die Applikation dann direkt gestartet.
Die Sicherheitslücke wurde, zumindest für das Play-Store-Szenario, bereits provisorisch geflickt. Nun wird beim Versuch die Exploit-Seite aufzurufen eine Fehlermeldung ausgegeben, in der darauf verwiesen wird, dass der eingesetzte Browser nicht weiter unterstützt wird. Das Grundproblem, dass das UXSS für ähnliche Angriffe ausgenutzt werden kann, besteht jedoch weiterhin. Immerhin sind laut aktueller Statistik fast 60 Prozent der Android-Nutzer davon betroffen. Google rät unterdessen seinen Nutzern auf einen alternativen Browser wie Chrome oder Firefox zu wechseln. Tod Beardsley selbst empfiehlt in diesem Zusammenhang auch, nicht mit dem Google-Account im Browser eingeloggt zu sein.
Die Sicherheitslücke ist seit Januar bekannt und wird nach Aussage von Google auch nicht geschlossen. Das Unternehmen verweist darauf, dass die Zahl der Betroffenen immer weiter sinkt, da "jeden Tag mehr Leute ein Update vornehmen oder ein neues Gerät bekommen" - anfällig sind nur Geräte bis Android 4.3 Jelly Bean, ab Android 4.4 Kitkat setzt Google auf die Chromium-Engine. Außerdem stünden die Hersteller in der Pflicht, für Updates auf die aktuellste Android-Version auf ihren Geräten zu sorgen.
Bei der Nutzung eines alternativen Browsers wie Chrome, Firefox, Dolphin oder Opera wird zwar die eigene Rendering-Engine genutzt, einige Android-Apps setzen aber trotzdem weiter auf Webview, um Werbung einzublenden oder In-Game-Shops zu öffnen.
- Android - Datensicherung in der Praxis
Auf Android-Smartphones und Tablets befinden sich in aller Regel Daten, die ordentlich gesichert werden müssen, insbesondere wenn das Gerät professionell genutzt wird. Der folgende Beitrag liefert Tipps zum ordentlichen Backup von Android-Geräten und nennt empfehlenswerte Apps. - Gleichstand
Das Telefon kann mit dem Google-Konto synchronisiert werden. - Sicherheitshalber
Kontakte lassen sich zur Sicherung in Google-Konten ex- oder importieren. - SanDisk Memory Zone
Diese empfehlenswerte App kommt zwar ohne Root-Rechte aus, kann dafür aber nicht alles sichern. - MyBackup
MyBackup: Die komplette Sicherung des Telefons erfordert Root-Rechte. - SMS Backup & Restore
Mit der App lassen sich Kurznachrichten sichern. - Synchronisierung
SMS und Anruflisten über Goolgle Mail mit SMS Backup+ sichern. - CallTrack
Anrufe lassen sich mit der Anwendung ordentlich protokollieren. - Ordnungshalber
Mit dem Astro Datei-Manager lassen sich Ordner sichern. - Im Zugriff
Mit dem Discoverer (Linda Manager) kann man auf Daten zugreifen und diese sichern. - Transporthilfe
Sichern der Liste von installierten Apps auf Android.