Android-browser er sårbar

Artiklen blev oprindeligt publiceret den 16/9/2014

Standardbrowseren i tidligere versioner af Android har en sårbarhed, der lader websider se information fra andre domæner. Et modul til Metasploit udnytter sårbarheden.

Sårbarheden er et brud på den såkaldte Same-Origin Policy, som alle browsere skal implementere. Den siger, at et script på en side kun må tilgå data fra samme domæne. Et script kan altså ikke se cookies eller andre data fra en anden webside, der er åben i browseren, hvis den ikke er fra samme domæne.

Men det er let at omgå den spærring i den browser, der var indbygget i tidligere versioner af Android. I nyere versioner af Android er den afløst af Chrome for Android. Fejlen findes i Android-versioner før 4.4.

Sikkerhedsforsker Rafay Baloch har opdaget sikkerhedshullet og testet det på flere Android-smartphones.

Udviklere af programmet Metasploit til sikkerhedstest har skrevet et modul, der udnytter sårbarheden.

Ifølge Tod Beardsley fra sikkerhedsfirmaet Rapid7, der udvikler Metasploit, skriver, at der øjensynlig ikke er planer om at lukke hullet.

Anbefaling
Overvej at bruge en anden browser til Android.

Links

• Android Browser Same Origin Policy Bypass
• Major Android Bug is a Privacy Disaster (CVE-2014-6041), blogindlæg af Tod Beardsley