Sicherheit · 3 min read · Oct 24, 2025

Fehler beim Umgehen der SOP im Standard-Android-Browser ermöglicht Hackern, Daten aus offenen Tabs zu stehlen

Table Of Contents

  • Fehler beim Umgehen der SOP im Standard-Android-Browser
  • Nur Standard-Android-Browser betroffen
  • Proof of Concept
  • SOP-Umgehungsfehler in Android KitKat 4.4 und höher gepatcht
  • Ältere Android >4.4-Nutzer weiterhin anfällig?
  • Anfällige Smartphones

Fehler beim Umgehen der SOP im Standard-Android-Browser

Rafay Baloch, Sicherheitsforscher, hat einen Fehler in den Standard-Android-Browsern entdeckt, den potenzielle Hacker nutzen können, um sensible Daten aus offenen Tabs/Seiten zu stehlen. Die neueste Schwachstelle beim Umgehen der Same-Origin-Policy (SOP) ist die zweite, die von dem Forscher Rafay Baloch entdeckt wurde, der letzten Monat die erste, CVE-2014-6041, entdeckte.

Nur Standard-Android-Browser betroffen

Die Schwachstelle beim Umgehen der Same-Origin-Policy (SOP) betrifft nur den Standard-Android-Browser. Die Schwachstelle liegt darin, wie Javascript von der Android-Funktion behandelt wird, die für das Laden von Frame-URLs verantwortlich ist. Normalerweise verhindert die SOP in jedem Browser, dass das JavaScript auf einer Seite oder einem Tab auf Daten/Inhalte auf einer anderen Seite/einem anderen Tab zugreift. Aber der Android-Browser hat einen Fehler, der es einem potenziellen Hacker ermöglicht, die SOP zu umgehen und Daten auf den anderen Tabs zu lesen/zu sammeln. In einfachen Worten, wenn Sie einen Tab/eine Seite geöffnet haben, auf der Sie Ihre Kreditkartendaten eingegeben haben, und Sie die Seite mit dem JavaScript öffnen, das die SOP umgangen hat, besteht die Chance, dass der Hacker die Kreditkartendaten von der anderen offenen Seite lesen kann.

Proof of Concept

Rafay hat einen Proof-of-Concept auf seinem Blog veröffentlicht, um zu beweisen, dass die Android-Browser tatsächlich anfällig sind. Der PoC ist unten, mit freundlicher Genehmigung von Rafay Baloch.

Android-Browser-Schwachstelle POC

Rafay sagt in seinem Blog: „Da mein kürzlicher Android-SOP-Umgehungsfehler [CVE-2014-6041] viel Aufsehen in der Infosec-Community ausgelöst hat, war ich motiviert, ein wenig mehr über den Android-Browser zu recherchieren. Es stellte sich heraus, dass die Dinge viel schlimmer sind, als ich dachte. Ich konnte einige interessante Schwachstellen im Android-Browser auslösen, eine davon ist eine weitere Schwachstelle beim Umgehen der Same-Origin-Policy. Das Schlimme daran ist, dass dieselbe SOP-Umgehung bereits vor Jahren in Chrome behoben wurde, jedoch die Patches nicht auf den Android-Browser < 4.4 angewendet wurden.“

SOP-Umgehungsfehler in Android KitKat 4.4 und höher gepatcht

Rafay sagt, dass Google den Fehler bemerkt und ihn in seinem neuesten Betriebssystem, Android KitKat 4.4, gepatcht hat. Aus seltsamen Gründen wurde er jedoch in Android-Versionen unter 4.4 von Google nicht gepatcht. In einem separaten Beitrag auf ThreatPost hat Google erklärt, dass diese Schwachstelle mit der Veröffentlichung für Android 4.1-4.3, auch bekannt als Jellybean, gepatcht wurde.

Ältere Android >4.4-Nutzer weiterhin anfällig?

Wie oben erwähnt, sind ältere Android-Nutzer weiterhin anfällig für diese große Sicherheitsbedrohung. Google verteilt die neuesten Android-Versionen auf seinen Stock-Edition-Handys und -Tablets wie Google Nexus usw., und viele große Hersteller bringen die neueste Firmware für ihre Flaggschiffprodukte heraus, aber die meisten Smartphones und Tablets auf dem Markt sind weder Google Play Edition-Geräte noch Flaggschiffe wie Sony Z3 oder Samsung Galaxy S5.

Dieser Fehler betrifft die meisten Nutzer, die im unteren Mittel- und Mittelsegment der Smartphone-Käufer sind. „Die Schwachstelle ist ein ‚großes Problem‘“, sagte Ted Eull, Vizepräsident für mobile Dienste beim Sicherheitsanbieter viaForensics. „Da der Browser standardmäßig auf vielen Geräten vor KitKat (Version 4.4) enthalten war, gibt es potenziell Hunderttausende betroffener Nutzer“, sagte er.

Anfällige Smartphones

Handys, die wahrscheinlich anfällig sind, umfassen das Samsung Galaxy S3, das Samsung Galaxy Note 2 und alle Mittel- und Niedrigsegment-Samsung-Smartphones und -Tablets, das LG Optimus G, das LG G2 und alle Mittel- und Niedrigsegment-LG-Smartphones und -Tablets sowie das Motorola Droid RAZR, die gesamte Smartphone-Reihe von Sony, mit Ausnahme derjenigen, die auf Android 4.4 KitKat aktualisiert wurden.

Glücklicherweise sind nur die Standard-Android-Browser von der SOP-Umgehungsschwachstelle betroffen. Wenn Sie ein Android-Smartphone/Tablet verwenden, das ein Betriebssystem älter als Android 4.4 KitKat hat, wird empfohlen, das Web über Chrome, Firefox oder einen anderen Browser zu durchsuchen. Wenn Sie Chrome oder Firefox noch nicht heruntergeladen haben, wird empfohlen, dies jetzt aus dem Google Play Store herunterzuladen und DIESEN Browser als Ihren Standardbrowser festzulegen.

Wenn Sie ein gerootetes Android-Gerät verwenden, sollten Sie den Standard-Android-Browser deinstallieren.

Als AT&T um einen Kommentar zu dieser schwerwiegenden Schwachstelle und was sie tun, um ihre Kunden zu schützen, gebeten wurde, antwortete das Unternehmen nicht auf eine Anfrage. Verizon Wireless wies darauf hin, dass es eine Website hat, auf der Kunden überprüfen können, ob Updates für ihr Telefon verfügbar sind.

„Wir liefern regelmäßig Software-Updates nach gründlichen Tests, um sicherzustellen, dass die Kunden eine großartige Erfahrung haben“, sagte Debra Lewis, Sprecherin des Unternehmens.

Share: X/Twitter LinkedIn
#Sicherheit

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.