Android: Onlinetest für UXSS-Sicherheitslücke

Im Android-Betriebssystem gibt es bis Version 4.3.x eine UXSS-Sicherheitslücke, die es Angreifern ermöglicht, Inhalte gar nicht gestarteter Websites abzugreifen. Die Lücke ist nun bereits eine ganze Weile bekannt, wer böse Absichten hat, kann sich also einfach der verfügbaren Informationen bedienen. Wie so oft wird es schwer überhaupt zu entdecken, ob man Opfer eines Angriffs durch solch eine Lücke geworden ist.

Die UXSS-Sicherheitslücke besteht im WebView von Android, sodass der Android-Browser und sämtliche Apps, die den WebView nutzen betroffen sind. Oft kommt dieser beim Anzeigen von Webinhalten in Apps, aber auch bei simplen Werbebannern zum Einsatz. Sicheren Schutz gegen die Lücke schafft nur ein Systemupdate auf Android 4.4 oder höher.

Aber es gibt Möglichkeiten, die Gefahr einzudämmen. In erster Linie sollte man einen Browser mit eigener Rendering Engine nutzen, wie zum Beispiel Opera, Firefox oder Google Chrome. Googles Chrome ist aber auch wieder nur ab Android 4.1 eine Option, denn erst dieser Tage verkündete das Unternehmen, die Entwicklung des Browsers für Android-Versionen bis Ice Cream Sandwich einzustellen.

Das Risiko durch andere Apps mit WebView bleibt leider dennoch bestehen. Es sollte, wenn möglich, auf die Nutzung solcher Apps verzichtet werden. Manche Apps lassen sich auch so einstellen, dass sie ihre Inhalte immer im externen Browser öffnen, statt im eigenen, auf WebView basierten Browser. Generell kann man sagen, dass die Gefahr auch sinkt, wenn keine öffentlichen WiFi-Netzwerke genutzt werden.

Das war nun viel Gerede drumherum, damit noch mal alle wissen, worum es eigentlich geht. Bei Heise hat man einen Onlinetest verfügbar gemacht, mit dem ihr durch simples Aufrufen einer Website überprüfen könnt, ob euer Gerät bzw. der genutzte Browser von der Lücke betroffen ist.

Zum UXSS-Test →