iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel
   

Android-Sicherheitslücke: Webseitenbesuch gewährt Angreifern Vollzugriff

Artikel auf Mastodon teilen.
9 Kommentare 9

Die iOS-Konkurrenz Android sieht einmal mehr mit einer gravierenden Sicherheitslücke konfrontiert. Auf einer Sicherheitskonferenz in Japan wurde demonstriert, wie Angreifer durch eine manipulierte Webseite Vollzugriff auf Mobiltelefone und Tablets erhalten können.

500

(Bilder: Roman Pyshchyk / focal point – Shutterstock.com)

Einem Bericht der Nachrichtenseite Register zufolge sind von der Schwachstelle vermutlich sämtliche Android-Varianten betroffen, auf denen die aktuelle Version des Webbrowsers Chrome installiert ist. Offenbar genügt es bereits, wenn mit dem Webbrowser eine mit speziellem JavaScript-Code ausgerüstete Webseite aufgerufen wird, um Angreifen Vollzugriff auf das Gerät zu gewähren.

As soon as the phone accessed the website the JavaScript v8 vulnerability in Chrome was used to install an arbitrary application (in this case a BMX Bike game) without any user interaction to demonstrate complete control of the phone.

Eine Stellungnahme von Google steht noch aus. Ebenso ist die akute Gefahr für Android-Nutzer minimal, da die Entdecker der Lücke keinerlei detaillierte Informationen an die Öffentlichkeit gegeben haben. Auch aufgrund dieser Tatsache dürfen sich die Entdecker des Softwarefehlers auf eine Belohnung im Rahmen des Android Security Rewards Program freuen.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
13. Nov 2015 um 12:08 Uhr von chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    9 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Es ist aber höchst unwahrscheinlich, das ein Gerät welches einen gesperrten Bootloader hat, dann auch nicht gerootet ist, rootrechte bekommt

    • Screencapturing ist seit 4.4 bzw. spätestens 5.0 Bordmittel und ohne große Hacks zu realisieren, damit kann man ganz einfach alle Passwörter mitloggen…

    • Wenn man einen laufenden Prozess mit entsprechenden Rechten übernehmen kann, dann hat man schon mal mindestens ROOT-Rechte bis zum nächsten Restart- da ändert auch ein geschützter Bootloader nichts dran. Was dann die Software noch in dieser Richtung „reißen“ kann… wer kann garantieren, dass man nach einem Reboot, die Schadsoftware los ist??

      • Ich gehe doch davon aus, dass Chrome unter Android nicht mit Root Rechten läuft. Damit hätte man also nicht automatisch Root Rechte und bräuchte noch einen Kernel Exploit um weiter zu kommen. Oder kann bei Android ein Chrome User Apps installieren!?

      • Soweit ich weis kann eine Systemapp andere Apps installieren, ist zumindest mit dem Amazon App Store so, der nach der Umwandlung von User- zu Systemapp Apps ohne Bestätigung installiert…

  • Is wohl der missglückte Versuch dem „over the Air“ jailbreakbaren IOS nachzueifern…

  • Ich vermute mal das es gerade auf iOS Sinn macht nicht den Safari Browser zu nutzen da dieser wohl so tief im System integriert ist das ein ausbrechen aus der Sandbox katastrophale Folgen haben kann (siehe OTA Jailbreak für iOS). Ich denke mal das andere Browser wie FF oder Chrome in iOS demnach sicherer sind weil diese in einer „sicheren“ Sandbox laufen aus der nicht so schnell ausgebrochen werden kann. Bei Android sollte man demnach wohl auch lieber auf einen anderen Browser ausweichen und auf den Chrome erstmal verzichten. Vielleicht hat ja noch jemand ne Idee dazu.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven