Durch zwei Sicherheitslücken war es möglich, Webseiten zu erstellen, die ungefragt beliebige Android-Apps aus Google Play installieren. Die erste Lücke ist eine alte Bekannte: Die Webbrowser-Komponente von Android bis einschließlich Version 4.3 ist anfällig für das sogenannte Universal Cross-Site-Scripting (UXSS). Dadurch kann eine bösartige Webseite eine beliebige andere Website fernsteuern. Die Angriffsseite könnte etwa einen Webmail-Dienst in einem unsichtbaren Frame laden und auf die Mails des Opfers zugreifen – vorausgesetzt, das Opfers ist bei dem Dienst eingeloggt, wenn es die bösartige Seite aufruft.

android-creepy

Categories: Hauptseite