Samsung Galaxy S25: Nu met Galaxy Tab S6 Lite!

Groot beveiligingslek in ‘oude’ Android-browser ontdekt, overstappen op andere browser aangeraden

Sander Tuit
Sander Tuit
16 september 2014, 16:37
5 min leestijd
Groot beveiligingslek in ‘oude’ Android-browser ontdekt, overstappen op andere browser aangeraden

Lees verder na de advertentie.

Android-browser

Wanneer we het hebben over de standaard browser van Android, hebben we het niet over Google Chrome. Sinds Android 4.1 (Jelly Bean) is Chrome wél de standaard browser geworden van veel toestellen, waaronder alle Nexus-toestellen, maar er is nog een andere browser. Deze browser is onderdeel van het AOSP, het Android Open Source Project. De code uit dit project wordt gebruikt door fabrikanten om hun toestellen te voorzien van nieuwe Androidversies.

De browser uit het AOSP is ook het startpunt van de browsers van verschillende fabrikanten als HTC, Samsung en Sony en zorgt er nu voor dat veel van de toestellen die op een Androidversie voor Android 4.4 (KitKat) draaien, kwetsbaar zijn voor een vorige week ontdekt beveiligingslek. Dit geldt ook voor browsers die gebruik maken van de ingebouwde webbrowse-mogelijkheden van Android, zoals Boat browser

Groot lek

Het lek waarover we het hebben, is vorige week ontdekt door onderzoeker Rafay Baloch. Hij geeft op zijn weblog een uitgebreide samenvatting van het probleem. Het komt er op neer dat kwaadaardige websites scripts kunnen draaien op andere websites. Deze scripts bieden toegang tot informatie, zoals wachtwoorden en andere inloggegevens. Normaal gesproken wordt dit voorkomen door een controle: er wordt gekeken of het script wel afkomstig is van dezelfde website als waarop deze gedraaid wordt, maar Baloch heeft een manier gevonden om deze controle te omzeilen. Het probleem is in principe erg eenvoudig. Door een leeg karakter toe te voegen aan het begin van een script, wordt de controle overgeslagen.

Het lijkt er dus op dat de controle op een verkeerd moment plaatsvindt, wanneer we het goed begrijpen is het volgende aan de hand in een normale situatie:

1) Een script wordt ontdekt.

2) Er vindt controle plaats of het script wel afkomstig is van dezelfde website. Zo niet, wordt het uitvoeren van het script afgebroken.

3) Lege karakters aan het begin van het script worden verwijderd. 

4) Het script wordt uitgevoerd. 

Wanneer een script wordt ontdekt met een leeg karakter aan het begin, blijkt de controle overgeslagen te worden. Mogelijk wordt het script niet herkend als correct script, maar dat wordt het wel wanneer in stap 4 de lege karakters weggehaald worden. Daarna wordt het script, zonder de controle, alsnog uitgevoerd. 

In Android 4.4 is Google overgeschakeld naar een nieuwe manier van websites weergeven in de browser en webapplicaties en de techniek hierachter is gebaseerd op die van Google Chrome. Door deze overgang heeft Google, vermoedelijk zonder van het bestaan van het deze week opgedoken lek te weten, het lek gedicht. 

Wachtwoorden stelen

Met een aangepast script krijgen kwaadwillende websites dus toegang tot privédata van andere websites. Hoe gevaarlijk is dit probleem nu precies en om welke data gaat het? Ten eerste zul je dus eerst terecht moeten komen op een website met kwaadaardige scripts, maar de kans daarop is zeker niet te verwaarlozen.

Ten tweede kunnen aanvallers dan toch wel heel veel data buitmaken. Onderzoekers demonstreren bijvoorbeeld dat het heel eenvoudig is om het Gmail-wachtwoord te achterhalen wanneer je Gmail in een tabblad in de browser open hebt staan. Bij andere websites is het mogelijk om af te luisteren, waardoor het intypen van een wachtwoord kan worden gevolgd. Daarnaast is het mogelijk om sessies over te nemen. Een voorbeeld daarvan is Facebook: wanneer je ingelogd bent op Facebook, hoef je niet bij alles wat je doet steeds een nieuw wachtwoord op te geven: je logt één keer in en hebt dan een sessie geopend. Wanneer een kwaadwillende deze sessie overneemt, kan hij bijvoorbeeld (spam)berichten posten vanaf jouw account. In principe is alle activiteit op andere websites op deze manier af te luisteren. 

Zoals veel beveiligingsonderzoekers dat doen, heeft ook Baloch contact gezocht met Google en het lek gemeld, nog voor het openbaar te publiceren. Google gaf echter aan het probleem niet te kunnen reproduceren en niet verder in op de melding. Hierop besloot Baloch het wel openbaar te maken, waarna Google toch terugkwam op het probleem en het lek toch wel echt bleek te zijn. Aan een ‘passende’ oplossing wordt gewerkt volgens Google.

Overstappen op andere browser

Het vorige week bekend geworden beveiligingslek kan hoogstwaarschijnlijk alleen worden gedicht door een update van de systeemsoftware. Sommige toestellen zullen deze update nog wel ontvangen, anderen niet. Aangezien Google zich nu pas bezighoudt met het lek, kan het nog maanden duren voordat de eerste beveiligingsupdates beschikbaar komen. 

Het is dan ook aan te raden om op een andere browser over te stappen als jouw toestel op een Androidversie onder Android 4.4 (KitKat) en je gebruikt maakt van de standaard Androidbrowser, of een browser die daarop gebaseerd is. In veel gevallen zul je al gebruik maken van een alternatieve browser, zoals Google Chrome, die op veel Androidtoestellen de standaard browser vervangt vanaf Android 4.1 (Jelly Bean). Browsers die wel gebaseerd zijn op de standaard Androidbrowser zijn onder andere die van Samsung en van HTC. Of alle toestellen de kwetsbaarheid bevatten is niet duidelijk, maar het is aan te raden om over te stappen op een alternatieve browser.

Browsers die niet kwetsbaar zijn voor dit lek, zijn onder meer Mozilla Firefox, Google Chrome, Dolphin en Opera. Andere browsers, die gebaseerd zijn op de AOSP-browser of hiervan gebruik maken (via een zogenaamde WebView) zijn mogelijk wel kwetsbaar. Mocht jouw toestel nog op Android 2.3 draaien, dan kun je Firefox gebruiken, veel andere browsers zijn alleen beschikbaar voor toestellen met Android 4.0 en hoger. 

Bron: Tod Beardsly en Rafay Baloch via: Reddit

Firefox Browser: snel en privé

Mozilla

9.0
Gratis
Via Google Play

Google Chrome

Google LLC

8.2
Gratis
Via Google Play

Lees meer over

Op de hoogte blijven?

Volg Androidworld nu ook op WhatsApp

Download de nieuwe Androidworld-app!

Reacties

6

Inloggen of registreren
om een reactie achter te laten

17 september 2014, 15:03

Haha, wat ben ik toch weer blij met mijn Paranoid Android! Altijd de laatste versie via OTA en geen problemen zoals dit browser akkefietje. Long live custom roms!

16 september 2014, 19:25

DOLPHIN GEBRUIK OK IS. SNEL EN. BEVALT PRIMA

16 september 2014, 19:17

Is er nog iets anders dan Chrome?
(^_-)

16 september 2014, 18:55

Jammer dat Chrome niet op Android 2.x draait…

16 september 2014, 18:46

Opera is een goed altenertief,fijn in het gebruik.

16 september 2014, 18:39

Gelukkig ik niet. Ik heb 4.4 kitkat