Exploit via Chrome: Wahrscheinlich alle Android-Geräte anfällig

Kein Kommentar Autor: Jürgen (jdo)

Wie gut, dass ich auch auf meinen Android-Geräten Firefox als Browser einsetze. Der Security-Experte Guang Gong hat auf der PacSec-Konferenz in Tokio und beim MobilePwn2Own demonstriert, wie sich ein nagelneues Google Project Fi Nexus 6 über einen Exploit via Chrome kompromittieren lässt. Er hat ein BMX-Spiel installiert, ohne dass der Anwender etwas machen musste. Guang Gong hatte damit komplette Kontrolle über das Smartphone.

Exploit über die JavaScript V8 Engine

Nun gut, etwas muss der Anwender schon tun, aber nicht viel. Der Fehler nutzt anscheinend einen Bug in der JavaScript V8 Engine aus und der Exploit greift dann, wenn der Anwender eine speziell präparierte Website besucht.

Exploit möglich: Chrome nutzt die JavaScript V8 Engine und darin liegt derzeit der Fehler

Exploit möglich: Chrome nutzt die JavaScript V8 Engine und darin liegt derzeit der Fehler

Interessant an der Geschichte ist, dass es sich um einen einzelnen Exploit handelt, der das Android-Gerät kompromittiert. Oftmals nutzen Angreifer eine Serie oder mehrere Exploits, um diverse Security-Lücken auszunutzen, damit die Cyberkriminellen den gewünschten Zugriff erhalten. In diesem Fall reicht aber ein Schuss. Sobald die schädliche Website besucht wurde, konnte Guang Gong das Gerät komplett übernehmen.

Der Security-Experte Guang Gong hat laut eigenen Aussagen zirka drei Monate lang gebraucht, um den Exploit zu entwickeln.

Vor Ort befand sich ein Security-Experte von Google. Er sagte, dass Google sehr wahrscheinlich ein Kopfgeld für den Fehler zahlen würde, da der Experte den Bug nicht öffentlich gemacht hat.

Große Preise gibt es für die Spezialisten leider nicht. Diverse Sponsoren sind nich wieder aufgetaucht, darunter auch Google, Hewlett Packard, Apple und Microsoft. Warum wer wie wann nicht mehr sponsern wollte, ist etwas verworren. Da geht es wohl um Lizenzen und eigene Security-Programme und was weiß ich. Google hat wohl auf ein eigenes Android-Security-Programm hingewiesen.

Auf jeden Fall gewinnt Guang Gong einen Trip zur CanSecWest und eine Woche Ski-Urlaub. Letztes Jahr gab es insgesamt noch 425.000 US-Dollar an Preisgeldern. Aber keine Sponsoren …

Ein Team aus Deutschland hat dann wohl mit Verspätung ein modernes Samsung-Gerät geknackt. Die Demonstration war wegen eines verspäteten Fluges nicht zur geplanten Zeit.

Guan Gong hat gegenüber The Register bestätigt, dass sich der Exploit sehr wahrscheinlich auf allen Android-Geräten durchführen lässt, auf denen die aktuelle Version von Chrome installiert ist.

Kann man nur hoffen, dass es zeitnah ein Update für Chrome gibt – eigentlich müsste man dem Exploit derzeit ausweichen können, indem man einen Browser verwendet, der nicht die JavaScript V8 Engine einsetzt, oder? Ich benutze auf jeden Fall weiterhin Firefox.

Auch Interessant?

  1. Pwn2Own 2016 – Mozilla Firefox nicht berücksichtig
  2. Passwort-Manager Mitro wird als Open-Source ausgegeben
  3. Brotli wird Webseiten bis zu 26 Prozent besser komprimieren und somit schneller laden
  4. Firefox 14 für Android: Neuer Anstrich, schnell und endlich brauchbar
  5. Version 18.0.1025123: Chrome für Android hat die Beta-Phase verlassen

 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.