Schwachstellen in den Android-Varianten der Mobilbrowser Dolphin und Mercury erlauben Lese- und Schreib-Operationen im App-Verzeichnis. Im Fall von Dolphin lässt sich auch aus der Ferne Code ausführen.
Entdeckt hat die Schwachstellen Benjamin Watson, der unter dem Namen Rotlogix einen Blog betreibt. Ihm zufolge ist es die hochgradige Anpassbarkeit, die den zwischen 50 und 100 Millionen Mal aus Google Play heruntergeladenen Dolphin Browser der Firma Mobotap anfällig macht.
Neue Themes lädt Dolphin nämlich per HTTP als ZIP-Datei mit der Erweiterung .DWP. Mithilfe eines simplen Skripts lässt sich der Download abfangen und durch ein bösartiges Theme ersetzen, welches auf alle Dateien im Dolphin-Verzeichnis zugreifen und dort nicht nur lesen, sondern auch schreiben könnte.
Ein Angreifer, der so weit vordringt, kann dann die für das Entpacken des Browser-Themes gedachte Funktion dazu nutzen, die Browser-Bibliothek libdolphin.so durch eine eigene Library zu ersetzen und sie so im App-Verzeichnis zu platzieren. Dies bereitet wiederum den Weg für das Ausführen von beliebigem Code.
Anders lässt sich der Browser Mercury für Android angreifen, dessen Downloadzahl bei Googe Play zwischen 500.000 und einer Million liegt und dessen Hersteller iLegendSoft heißt. Hier ist die dem Online-Dateiaustausch dienende Funktion Wi-Fi Transfer anfällig.
Der Angriff kann über eine Verkettung von Sicherheitslücken erfolgen – eine unsichere Intent-URI-Implementierung und eine Path-Traversal-Schwachstelle in Verbindung mit einem angepassten Webserver. Der Angreifer könnte dadurch Dateien ins Browserverzeichnis schreiben oder bestehende Files verändern.
Anwendern der beiden Browser empfiehlt Watson, vorerst auf andere Browser auszuweichen. Die jüngste Dolphin-Version stammt inzwischen vom 24. August und könnte bereits einen Patch enthalten. Auf der Herstellerwebsite findet sich dazu kein Hinweis. Die anfällige Version datiert vom 27. Juli. Der neuste Mercury-Browser vom 17. August muss hingegen definitiv als verwundbar gelten.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Laut Teamviewer-Report „The AI Opportunity in Manufacturing“ erwarten Führungskräfte den größten Produktivitätsboom seit einem Jahrhundert.
Microsoft erobert zunehmend den Markt für Cybersicherheit und setzt damit kleinere Wettbewerber unter Druck, sagt…
Nur 14 Prozent der Führungskräfte in der IT sind weiblich. Warum das so ist und…
Obwohl ein Großteil der Unternehmen regelmäßig Backups durchführt, bleiben Tests zur tatsächlichen Funktionsfähigkeit häufig aus.
Laut ESET-Forschern hat sich die Gruppe RansomHub innerhalb kürzester Zeit zur dominierenden Kraft unter den…
Damit hängt die hiesige Wirtschaft beim Einsatz der Technologie zwar nicht zurück, ist jedoch auch…
![](data:image/svg+xml;charset=utf-8,<svg height="250px" width="250px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
