Mange brugere af Android-telefoner og tablets – især de billige og lidt ældre modeller – har sårbarheder i deres webbrowser. Hos digi.no opfordrer de simpelthen brugerne til at finde en anden browser.
Sårbarheden findes i Android Browser, som findes i modeller med Android 4.3 og ældre. I Android 4.4 Kitkat er browseren erstattet af Chrome – problemet er, at det kun er hver fjerde Android-enhed har KitKat.
Android Browser, eller AOSP Browser, som den også kaldes, bliver ikke længere vedligeholdt af Google. Den er baseret på en åben kildekode, og det betyder leverandørerne af de berørte enheder selv kan fjerne sårbarheden, men ifølge Digi.no er sandsynligheden for at det sker ret lille. Det er sjældent at leverandører gider bruge ressourcer på lave opdateringer at til de billigste enheder.
I stedet opfordrer digi.no til at hente en anden browser som Chrome, Firefox eller Opera, som alle er alternativer, der kan køre på de fleste Android-enheder. Firefox kan også køre på enheder med en ældre udgave af Android end version 4.0.
Disse browsere kan sættes til at være standardbrowser på telefonen, så Android Browser ikke utilsigtet kommer til at åbne websider og dermed åbne sårbarheden.
Allerede 1. september omtalte sikkerhedsefterforskeren Rafay Baloch sårbarheden, men den fik ikke opmærksomhed før det blev kendt, at den kan udnyttes ved hjælp af et modul til sikkerhedsværktøjet Metasploit. Metasploit-udvikler Tod Beardsley kalder sårbarhed over for et katastrofe for privatlivet.
Sårbaheden drejer sig om, det der kaldes “Same Origin Policy”. I udgangspunktet skal et netsted med domæne A ikke kunne få adgang til egenskaber som cookies, position og skemadata, som tilhører et netsted med domæne B. Men Baloch demonstrerer at det i Android Browser er muligt at omgå denne regel.
Google har fået besked om sårbarheden inden Baloch skrev om den. Google er begyndt at lave en fiks, men om den når ud til alle de berørte enheder er usandsynligt.
Leave a Reply