Sicherheit · 3 min read · Oct 24, 2025

Legacy Android SOP Bypass-Bug lässt Milliarden von Smartphones und Tablets ungeschützt

Table Of Contents

  • Legacy Android-Bug lässt Milliarden von Smartphones und Tablets ungeschützt
  • Universelle Cross-Scripting-Sicherheitsanfälligkeit
  • Nachteil von Open Source
  • Proof of Concept
  • Proof Of Concept mit Postmessage-Aufruf
  • Verwundbarer Code

Legacy Android-Bug lässt Milliarden von Smartphones und Tablets ungeschützt

Ein pakistanischer Forscher, Rafay Baloch, hat einen SOP-Bypass-Bug entdeckt, der im Standardbrowser von Android (Stock-Browser) vorhanden ist und in jeder Version des Open-Source-Betriebssystems bis einschließlich 4.4 KitKat ausgeliefert wird. Der Experte koordinierte die Offenlegung des Bugs mit der Sicherheitsfirma Rapid7, die ein Metasploit-Modul dafür veröffentlichte. Der Standardbrowser läuft auf den Geräten von etwa 70 % der Smartphone-Nutzer, die ältere Versionen von Android verwenden, wodurch Milliarden von Nutzern der Schwachstelle ausgesetzt sind.

Universelle Cross-Scripting-Sicherheitsanfälligkeit

Die Sicherheitsanfälligkeit, die die WebView-Komponente betrifft, tritt auf, „wenn das ‚data‘-Attribut eines bestimmten HTML-Objekts mit einem JavaScript-URL-Schema ersetzt wird“, erklärte Tod Beardsley, technischer Leiter des Metasploit-Frameworks. Ein Angreifer kann die UXSS-Schwachstelle nutzen, um Cookie-Daten und Seiteninhalte aus einem verwundbaren Browserfenster zu scrapen, so Rapid7. Das Unternehmen hat festgestellt, dass Ziel-URLs, die X-Frame-Options verwenden, nicht betroffen sind. Die Sicherheitslücke kann in allen Versionen des Android Open Source Platform (AOSP) Browsers ausgenutzt werden, einschließlich derjenigen, die WebView verwenden.

Nachteil von Open Source

Google hat einen Patch für diese Schwachstelle veröffentlicht. Ein wesentlicher Nachteil der Arbeitsweise der Android-Community ist jedoch, dass es an den Herstellern liegt, Updates an ihre Nutzer weiterzugeben - was die Mehrheit von ihnen nicht tut. Dies wird spürbar, wenn Google neue Versionen von Android veröffentlicht, und der Druck ist auch jetzt zu spüren. Da die meisten Hersteller sich möglicherweise nicht um das Update kümmern, bleiben Millionen, die eine ältere Version von Android verwenden, für immer mit dieser Schwachstelle zurückgelassen, es sei denn, sie kaufen ein neues Gerät, das mit der neuesten Version von Android 5.0 Lollipop ausgestattet ist. Aber diese Nutzer gehören in der Regel zum unteren Mittel- und Mittelklasse-Segment und können sich das neueste Gerät nicht leisten, sodass der Kauf eines neuen Geräts für sie keine Option ist.

„Für viele, viele Menschen ist der Kauf eines neuen Telefons einfach nicht praktikabel; die Menschen, die am stärksten von ‚Legacy‘-Android-Bugs betroffen sind, sind dieselben Menschen, die sich ursprünglich kein schickes ‚neuestes‘ Android-Gerät leisten konnten“, sagte Beardsley in einem Blogbeitrag. „Mit anderen Worten, es sieht so aus, als würden eine Milliarde Telefone diesen Patch in naher Zukunft, wenn überhaupt, nicht erhalten. Es ist schön, dass der Patch existiert, aber Google scheint keinen praktischen Weg zu haben, ihn der Welt zugänglich zu machen.“

Proof of Concept

Das folgende ist der Proof of Concept: