[Software] Chrome für Android: Exploit erlaubt die komplette Übernahme des Smartphones

TinyTimm · 14.11.15, 11:58

Zitat:

Eine gefährliche Sicherheitslücke in Google Chrome für Android sorgt derzeit für Schlagzeilen: Über eine Schwachstelle in der V8-JavaS*****-Engine des Mobil-Browsers ist möglich, die komplette Kontrolle über das Android-Gerät zu erlangen. Lediglich der Besuch einer präparierten Webseite ist dazu notwendig.

Erst gestern berichteten wir über eine aufschlussreiche Studie, wonach iOS-Apps im Schnitt weniger sicher seien als ihre Android-Pendants. Im Zuge dessen gab Amit Ashbel, einer der Köpfe hinter dem Vergleichstest, auch einen Ausblick auf die kommenden Jahre und wagte die Prognose, dass Hacker in Zukunft vermehrt auf Schwachstellen in Apps setzen werden, um in mobile Betriebssysteme einzudringen. Die jetzt im Chrome-Browser für Android gefundene Sicherheitslücke untermauert Ashbels These.

Diese wurde im Rahmen des MobilePwn2Own entdeckt – einem Hacking-Wettbewerb, bei der die Teilnehmer aufgefordert werden, Sicherheitslücken in weit verbreiteter Software zu finden und sie auszunutzen. Der fragliche Exploit nutzt eine Schwachstelle in Chromes JavaS***** V8-Engine, um die komplette Kontrolle über das Android-Gerät zu erlangen. Bereits der Besuch einer infizierten Webseite reicht aus, wie auf der Bühne in Tokyo an einem Nexus 6 demonstriert wurde. Ohne Zutun des Nutzers war es beispielsweise möglich, jede beliebige App auf dem Gerät zu installieren.

Die Schwachstelle in Chromes JavaS*****-Engine wurde von Guang Gong, einem Mitarbeiter beim IT-Sicherheitsunternehmen Quihoo 360, ausfindig gemacht. Nach eigenen Aussagen benötigte Guang drei Monate, um eine Methode zu entwickeln, um darüber Zugriff auf Android-Geräte zu erlangen. „Das Beeindruckende an Guangs Exploit ist, dass er nicht auf die Verkettung von anderen Exploits angewiesen ist“, urteilten Sicherheitsforscher, die ebenfalls auf dem Hacking-Event angewiesen waren. Die von Guang Gong gefundene Sicherheitslücke ist also besonders perfide, weil sie ihre zerstörerische Kraft alleine entfalten kann und nicht auf andere Exploits zurückgreifen muss.

Exploit in Chrome für Android: Kein Grund zur Panik

Guang zufolge sind grundsätzlich alle Android-Smartphones- und Tablets verwundbar, auf denen die aktuellste Version von Google Chrome für Android genutzt wird. Ein übereilter Wechsel auf andere Browser ist aber dennoch nicht notwendig: Solche Hacking-Wettbewerbe wie MobilePwn2Own sind ja dazu gedacht, Schwachstellen zu finden und auszunutzen. Da die Methoden dahinter aber nicht öffentlich gemacht werden, haben Nutzer bis auf Weiteres nichts zu berfürchten. Laut den Kollegen von The Register soll Google bereits auf den Bug aufmerksam gemacht worden sein, auch wenn der Suchmaschinenanbieter sich bisher noch nicht offiziell zur Angelegenheit geäußert hat. Es ist also davon auszugehen, dass Google den Exploit im Chrome-Browser für Android schnell schließen wird.

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]