Im Chrome-Browser, der bei Android-Geräten eingesetzt wird, ist eine Sicherheitslücke vorhanden, mit der Angreifer über Webseiten böswillige Apps nachinstallieren könnten, ohne dass Anwender es merken. Die britische Webseite "The Register" berichtet, dass die Sicherheitslücke vom Sicherheitsforscher Guang Gong auf der Security-Konferenz Pacsec in Tokio demonstriert wurde.

In der JavaScript-Engine V8 des Browsers soll sich die Lücke befinden. Es soll ausreichen, dass bei Ausführung des Codes beliebige Apps nachinstalliert werden können. Auf einem Nexus 6 hat Gong diese Lücke demonstriert, ohne Details zur Funktionsweise zu veröffentlichen. Aber er soll sich darüber mit einem auf der Konferenz anwesenden Google-Mitarbeiter ausgetauscht haben. Laut dem Bericht hat Gong ca. drei Monate gebraucht, um die Sicherheitslücke aufzuspüren und auszuloten. Im Rahmen des Vulnerability Research Grant-Programms von Google soll Gong dafür entlohnt werden.

Ein Großteil moderner Android-Geräte sollen davon betroffen sein, da sich die Lücke in Chrome befindet. Üblicherweise wird der Browser über den Play Store aktualisiert und Google kann korrigierte Chrome-Versionen selbst ausliefern. Um die Lücke zu schließen, sind Besitzer von Android-Geräten wohl nicht darauf angewiesen, dass die Hardware-Hersteller korrigierte Android-Versionen freigeben.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE