Der Android-Test auf UXSS-Sicherheitslücke

Millionen von Android-Handys sind anfällig für eine kritische Sicherheitslücke des Web-Browsers. Testen sie jetzt Ihr Smartphone, um heraus zu finden, ob Ihre Daten in Gefahr sind.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Der von Android bis Version 4.3 mitgelieferte Browser hat einige bekannte Sicherheitslücken. Zwar sind noch keine konkreten Angriffe bekannt, die das ausnutzen, doch bereits seit geraumer Zeit sind Demonstrationen öffentlich verfügbar, wie sich das bewerkstelligen ließe. Besonders verbreitet ist die sogenannte UXSS-Lücke, durch die Angreifer die Inhalte gar nicht gestarteter Websites abgreifen können. Durch eine andere Lücke ist es gelungen, Kamera und Mikrofon zu manipulieren und Smartphones als Wanze zu missbrauchen, ohne dass der Anwender das mitbekommt.

Andere Apps können ebenfalls zur Gefahr werden: Denn die Schwachstelle liegt nicht im Browser selbst, sondern in der Android-Komponente WebView. Die nutzen auch viele andere Apps beispielsweise zum Anzeigen von Websites oder zum Einblenden von Werbebannern.

Wenn Ihr Smartphone oder Tablet unter Android 4.4 (Kitkat) oder Android 5 (Lollipop) läuft, sind Sie sicher. Dort hat Google die WebView-Komponente gegen eine modernere ausgetauscht, die zudem automatische Updates über den Play Store bekommt. Nutzer von Android 4.3 (Jelly Bean) und älter sind gefährdet. Google hat Patches für die Lücken herausgebracht, doch die erfordern ein Firmware-Update des Geräte-Herstellers. Und viele Hersteller lassen ihre Kunden im Regen stehen und bringen keine Updates.

Mit dem Test auf dieser Seite finden Sie heraus, ob die Patches auf Ihrem Smartphone oder Tablet installiert sind. Wenn auf der Test-Seite ein roter Kasten mit dem Text "Sie sind verwundbar" erscheint, ist es dem harmlosen Test gelungen, eine der Sicherheitslücken auszunutzen. Dann ist Ihr Gerät anfällig für Angriffe durch bösartige oder manipulierte Web-Seiten. Erscheint dieser Text nicht, konnte der Test Ihr Gerät nicht austricksen; Sie sind also sicher.

Der einzig zuverlässige Schutz ist die Installation von Android 4.4 oder 5. Wenn der Hersteller ein Update für Ihr Gerät anbietet: Installieren sie es! Sie fangen sich allerdings durch Android 4.4 und 5.0 Einschränkungen beim Zugriff auf die SD-Karte ein.

Falls Sie bei Android 4.3 oder älter bleiben, sollten Sie auf jeden Fall einen Browser mit eigener Rendering-Engine installieren, beispielsweise Chrome, Firefox oder Dolphin. Aber aufgepasst: Chrome ist erst ab Android 4.1 eine Option, da der Browser unter älteren Android-Versionen künftig ebenfalls keine Sicherheitsupdates mehr erhält. Stellen Sie den nachinstallierten Browser als Standard-Browser ein. Um die Gefährdung durch WebView in Apps zu verringern, sollten Sie RSS-Reader, Facebook und ähnliche Apps so konfigurieren, dass sie nicht den internen (WebView-basierten) Browser nutzen, sondern den externen. Auch sollten Sie in öffentlichen WLANs vorsichtig sein. Ausführlichere Informationen zum Umgang mit der Sicherheitslücke finden Sie in unserem Artikel Surf-Versicherung für Android.

Weitere Informationen zur Sicherheit Ihres Android-Smartphones:

(rei)