Android: Schwachstellen in Browsern entdeckt

Android (Bild: Google)

Bei Dolphin findet sich die Sicherheitslücke im Theme-Download. Demnach lassen sich heruntergeladene Themes mittels eines schlichten Skripts durch bösartige Themes ersetzen. Bei Mercury ist die Dateiübertragungsfunktion Wi-Fi Transfer verwundbar.

Schwachstellen in den Android-Varianten der Mobilbrowser Dolphin und Mercury erlauben Lese- und Schreib-Operationen im App-Verzeichnis. Im Fall von Dolphin lässt sich auch aus der Ferne Code ausführen.

dolphin-browser-icon (Bild: via Google Play)
Logo Dolphin (Bild: via Google Play)

Entdeckt hat die Schwachstellen Benjamin Watson, der unter dem Namen Rotlogix einen Blog betreibt. Ihm zufolge ist es die hochgradige Anpassbarkeit, die den zwischen 50 und 100 Millionen Mal aus Google Play heruntergeladenen Dolphin Browser der Firma Mobotap anfällig macht.

Neue Themes lädt Dolphin nämlich per HTTP als ZIP-Datei mit der Erweiterung .DWP. Mithilfe eines simplen Skripts lässt sich der Download abfangen und durch ein bösartiges Theme ersetzen, welches auf alle Dateien im Dolphin-Verzeichnis zugreifen und dort nicht nur lesen, sondern auch schreiben könnte.

Ein Angreifer, der so weit vordringt, kann dann die für das Entpacken des Browser-Themes gedachte Funktion dazu nutzen, die Browser-Bibliothek libdolphin.so durch eine eigene Library zu ersetzen und sie so im App-Verzeichnis zu platzieren. Dies bereitet wiederum den Weg für das Ausführen von beliebigem Code.

icon-mercury-browser
Logo Mercury (Bild: via Google Play)

Anders lässt sich der Browser Mercury für Android angreifen, dessen Downloadzahl bei Googe Play zwischen 500.000 und einer Million liegt und dessen Hersteller iLegendSoft heißt. Hier ist die dem Online-Dateiaustausch dienende Funktion Wi-Fi Transfer anfällig.

Der Angriff kann über eine Verkettung von Sicherheitslücken erfolgen – eine unsichere Intent-URI-Implementierung und eine Path-Traversal-Schwachstelle in Verbindung mit einem angepassten Webserver. Der Angreifer könnte dadurch Dateien ins Browserverzeichnis schreiben oder bestehende Files verändern.

Anwendern der beiden Browser empfiehlt Watson, vorerst auf andere Browser auszuweichen. Die jüngste Dolphin-Version stammt inzwischen vom 24. August und könnte bereits einen Patch enthalten. Auf der Herstellerwebsite findet sich dazu kein Hinweis. Die anfällige Version datiert vom 27. Juli. Der neuste Mercury-Browser vom 17. August muss hingegen definitiv als verwundbar gelten.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de