Schwachstellen in den Android-Varianten der Mobilbrowser Dolphin und Mercury erlauben Lese- und Schreib-Operationen im App-Verzeichnis. Im Fall von Dolphin lässt sich auch aus der Ferne Code ausführen.
Entdeckt hat die Schwachstellen Benjamin Watson, der unter dem Namen Rotlogix einen Blog betreibt. Ihm zufolge ist es die hochgradige Anpassbarkeit, die den zwischen 50 und 100 Millionen Mal aus Google Play heruntergeladenen Dolphin Browser der Firma Mobotap anfällig macht.
Neue Themes lädt Dolphin nämlich per HTTP als ZIP-Datei mit der Erweiterung .DWP. Mithilfe eines simplen Skripts lässt sich der Download abfangen und durch ein bösartiges Theme ersetzen, welches auf alle Dateien im Dolphin-Verzeichnis zugreifen und dort nicht nur lesen, sondern auch schreiben könnte.
Ein Angreifer, der so weit vordringt, kann dann die für das Entpacken des Browser-Themes gedachte Funktion dazu nutzen, die Browser-Bibliothek libdolphin.so durch eine eigene Library zu ersetzen und sie so im App-Verzeichnis zu platzieren. Dies bereitet wiederum den Weg für das Ausführen von beliebigem Code.
Anders lässt sich der Browser Mercury für Android angreifen, dessen Downloadzahl bei Googe Play zwischen 500.000 und einer Million liegt und dessen Hersteller iLegendSoft heißt. Hier ist die dem Online-Dateiaustausch dienende Funktion Wi-Fi Transfer anfällig.
Der Angriff kann über eine Verkettung von Sicherheitslücken erfolgen – eine unsichere Intent-URI-Implementierung und eine Path-Traversal-Schwachstelle in Verbindung mit einem angepassten Webserver. Der Angreifer könnte dadurch Dateien ins Browserverzeichnis schreiben oder bestehende Files verändern.
Anwendern der beiden Browser empfiehlt Watson, vorerst auf andere Browser auszuweichen. Die jüngste Dolphin-Version stammt inzwischen vom 24. August und könnte bereits einen Patch enthalten. Auf der Herstellerwebsite findet sich dazu kein Hinweis. Die anfällige Version datiert vom 27. Juli. Der neuste Mercury-Browser vom 17. August muss hingegen definitiv als verwundbar gelten.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…