Android-browser
Wanneer we het hebben over de standaard browser van Android, hebben we het niet over Google Chrome. Sinds Android 4.1 (Jelly Bean) is Chrome wél de standaard browser geworden van veel toestellen, waaronder alle Nexus-toestellen, maar er is nog een andere browser. Deze browser is onderdeel van het AOSP, het Android Open Source Project. De code uit dit project wordt gebruikt door fabrikanten om hun toestellen te voorzien van nieuwe Androidversies.
De browser uit het AOSP is ook het startpunt van de browsers van verschillende fabrikanten als HTC, Samsung en Sony en zorgt er nu voor dat veel van de toestellen die op een Androidversie voor Android 4.4 (KitKat) draaien, kwetsbaar zijn voor een vorige week ontdekt beveiligingslek. Dit geldt ook voor browsers die gebruik maken van de ingebouwde webbrowse-mogelijkheden van Android, zoals Boat browser.
Groot lek
Het lek waarover we het hebben, is vorige week ontdekt door onderzoeker Rafay Baloch. Hij geeft op zijn weblog een uitgebreide samenvatting van het probleem. Het komt er op neer dat kwaadaardige websites scripts kunnen draaien op andere websites. Deze scripts bieden toegang tot informatie, zoals wachtwoorden en andere inloggegevens. Normaal gesproken wordt dit voorkomen door een controle: er wordt gekeken of het script wel afkomstig is van dezelfde website als waarop deze gedraaid wordt, maar Baloch heeft een manier gevonden om deze controle te omzeilen. Het probleem is in principe erg eenvoudig. Door een leeg karakter toe te voegen aan het begin van een script, wordt de controle overgeslagen.
Het lijkt er dus op dat de controle op een verkeerd moment plaatsvindt, wanneer we het goed begrijpen is het volgende aan de hand in een normale situatie:
1) Een script wordt ontdekt.
2) Er vindt controle plaats of het script wel afkomstig is van dezelfde website. Zo niet, wordt het uitvoeren van het script afgebroken.
3) Lege karakters aan het begin van het script worden verwijderd.
4) Het script wordt uitgevoerd.
Wanneer een script wordt ontdekt met een leeg karakter aan het begin, blijkt de controle overgeslagen te worden. Mogelijk wordt het script niet herkend als correct script, maar dat wordt het wel wanneer in stap 4 de lege karakters weggehaald worden. Daarna wordt het script, zonder de controle, alsnog uitgevoerd.
In Android 4.4 is Google overgeschakeld naar een nieuwe manier van websites weergeven in de browser en webapplicaties en de techniek hierachter is gebaseerd op die van Google Chrome. Door deze overgang heeft Google, vermoedelijk zonder van het bestaan van het deze week opgedoken lek te weten, het lek gedicht.
Wachtwoorden stelen
Met een aangepast script krijgen kwaadwillende websites dus toegang tot privédata van andere websites. Hoe gevaarlijk is dit probleem nu precies en om welke data gaat het? Ten eerste zul je dus eerst terecht moeten komen op een website met kwaadaardige scripts, maar de kans daarop is zeker niet te verwaarlozen.
Ten tweede kunnen aanvallers dan toch wel heel veel data buitmaken. Onderzoekers demonstreren bijvoorbeeld dat het heel eenvoudig is om het Gmail-wachtwoord te achterhalen wanneer je Gmail in een tabblad in de browser open hebt staan. Bij andere websites is het mogelijk om af te luisteren, waardoor het intypen van een wachtwoord kan worden gevolgd. Daarnaast is het mogelijk om sessies over te nemen. Een voorbeeld daarvan is Facebook: wanneer je ingelogd bent op Facebook, hoef je niet bij alles wat je doet steeds een nieuw wachtwoord op te geven: je logt één keer in en hebt dan een sessie geopend. Wanneer een kwaadwillende deze sessie overneemt, kan hij bijvoorbeeld (spam)berichten posten vanaf jouw account. In principe is alle activiteit op andere websites op deze manier af te luisteren.
Zoals veel beveiligingsonderzoekers dat doen, heeft ook Baloch contact gezocht met Google en het lek gemeld, nog voor het openbaar te publiceren. Google gaf echter aan het probleem niet te kunnen reproduceren en niet verder in op de melding. Hierop besloot Baloch het wel openbaar te maken, waarna Google toch terugkwam op het probleem en het lek toch wel echt bleek te zijn. Aan een ‘passende’ oplossing wordt gewerkt volgens Google.
Overstappen op andere browser
Het vorige week bekend geworden beveiligingslek kan hoogstwaarschijnlijk alleen worden gedicht door een update van de systeemsoftware. Sommige toestellen zullen deze update nog wel ontvangen, anderen niet. Aangezien Google zich nu pas bezighoudt met het lek, kan het nog maanden duren voordat de eerste beveiligingsupdates beschikbaar komen.
Het is dan ook aan te raden om op een andere browser over te stappen als jouw toestel op een Androidversie onder Android 4.4 (KitKat) en je gebruikt maakt van de standaard Androidbrowser, of een browser die daarop gebaseerd is. In veel gevallen zul je al gebruik maken van een alternatieve browser, zoals Google Chrome, die op veel Androidtoestellen de standaard browser vervangt vanaf Android 4.1 (Jelly Bean). Browsers die wel gebaseerd zijn op de standaard Androidbrowser zijn onder andere die van Samsung en van HTC. Of alle toestellen de kwetsbaarheid bevatten is niet duidelijk, maar het is aan te raden om over te stappen op een alternatieve browser.
Browsers die niet kwetsbaar zijn voor dit lek, zijn onder meer Mozilla Firefox, Google Chrome, Dolphin en Opera. Andere browsers, die gebaseerd zijn op de AOSP-browser of hiervan gebruik maken (via een zogenaamde WebView) zijn mogelijk wel kwetsbaar. Mocht jouw toestel nog op Android 2.3 draaien, dan kun je Firefox gebruiken, veel andere browsers zijn alleen beschikbaar voor toestellen met Android 4.0 en hoger.
Bron: Tod Beardsly en Rafay Baloch via: Reddit
Reacties
Inloggen of registreren
om een reactie achter te laten
Haha, wat ben ik toch weer blij met mijn Paranoid Android! Altijd de laatste versie via OTA en geen problemen zoals dit browser akkefietje. Long live custom roms!
DOLPHIN GEBRUIK OK IS. SNEL EN. BEVALT PRIMA
Is er nog iets anders dan Chrome?
(^_-)
Jammer dat Chrome niet op Android 2.x draait…
Opera is een goed altenertief,fijn in het gebruik.
Gelukkig ik niet. Ik heb 4.4 kitkat