Android Browser zet je wachtwoorden te kijk
Een aanzienlijk percentage van Androidgebruikers loopt een groot risico wanneer ze surfen met hun smartphones. De Android Browser, een opensource-browser die mee bij vroege versies van Android zat als standaardbrowser, bevat een bug die eenvoudig uitgebuit kan worden door hackers.
De bug zorgt er voor dat JavaScript van onbetrouwbare websites toegang heeft tot gegevens bedoeld voor een andere website. Zo kan het fictieve hierzittenhackers.be meelezen wanneer je het wachtwoord van Gmail ingeeft.
SOP
Normaal gezien is zoiets onmogelijk. Browsers zorgen er voor dat een website enkel aan zijn eigen gegevens kan. Code van de ene site mag niet zomaar rondneuzen bij een andere website. Browsers doen dat door het zogenaamde Same Origin Policy (SOP) in stand te houden. Dat beleid houdt in dat scripts enkel met gegevens kunnen werken die dezelfde herkomst hebben als het script zelf. De herkomst wordt bepaald door te kijken naar het gebruikte protocol (http of https), het domein en het poortnummer.
[related_article id=”158901″]
Ook de Android Browser bezit zo’n SOP, maar de recent ontdekte bug zorgt er voor dat het beleid niet goed werkt. Daardoor kan een script geladen op website A rondneuzen in de gegevens van website B. Zo kunnen er niet alleen wachtwoorden worden buitgemaakt, maar vrijwel alles dat je met je toetsenbord ingeeft op een vertrouwde website. Ook je cookies zijn niet beschermd.
JavaScript
Rafay Baloch, de onderzoeker die het probleem blootlegde, claimt dat JavaScript dat op een bepaalde manier werd opgebouwd het SOP gewoon kan negeren. Het lek beperkt zich tot de Android Browser. Chrome nam sinds Android 4.2 de rol van de Android Browser over, maar tot versie 4.4 zit de code van die laatste nog verwerkt in andere applicaties waarmee je kan surfen.
Hoewel de Android Browser intussen gedateerd is, wil dat niet zeggen dat niemand de lekke software nog gebruikt. Integendeel: 20,61 procent van het mobiele surfen gebeurt met de onveilige browser, terwijl Chrome slechts een marktaandeel van 19,66 procent heeft.
Chrome
Gebruik je nog een oude versie van Android, en heb je de Android Browser er nog op staan, dan is het in afwachting van een patch voor het beveiligingslek een goed idee om een alternatieve browser zoals Chrome te downloaden.
Toen Baloch de bug rapporteerde aan Google claimde de internetgigant dat het resultaat niet te repliceren was. Iets later draaide de zoekgigant bij. In een statement stelt google dat “Androidgebruikers die Chrome als browser hebben, of een toestel met Android 4.4 bezitten, niet getroffen worden door de bug.” Voor oudere versies van Android stelde Google intussen een patch ter beschikking op het Android Open Source project. Nu is het wachten totdat de fabrikanten die update doorsturen naar hun klanten.
Een aanzienlijk percentage van Androidgebruikers loopt een groot risico wanneer ze surfen met hun smartphones. De Android Browser, een opensource-browser die mee bij vroege versies van Android zat als standaardbrowser, bevat een bug die eenvoudig uitgebuit kan worden door hackers.
De bug zorgt er voor dat JavaScript van onbetrouwbare websites toegang heeft tot gegevens bedoeld voor een andere website. Zo kan het fictieve hierzittenhackers.be meelezen wanneer je het wachtwoord van Gmail ingeeft.
SOP
Normaal gezien is zoiets onmogelijk. Browsers zorgen er voor dat een website enkel aan zijn eigen gegevens kan. Code van de ene site mag niet zomaar rondneuzen bij een andere website. Browsers doen dat door het zogenaamde Same Origin Policy (SOP) in stand te houden. Dat beleid houdt in dat scripts enkel met gegevens kunnen werken die dezelfde herkomst hebben als het script zelf. De herkomst wordt bepaald door te kijken naar het gebruikte protocol (http of https), het domein en het poortnummer.
[related_article id=”158901″]
Ook de Android Browser bezit zo’n SOP, maar de recent ontdekte bug zorgt er voor dat het beleid niet goed werkt. Daardoor kan een script geladen op website A rondneuzen in de gegevens van website B. Zo kunnen er niet alleen wachtwoorden worden buitgemaakt, maar vrijwel alles dat je met je toetsenbord ingeeft op een vertrouwde website. Ook je cookies zijn niet beschermd.
JavaScript
Rafay Baloch, de onderzoeker die het probleem blootlegde, claimt dat JavaScript dat op een bepaalde manier werd opgebouwd het SOP gewoon kan negeren. Het lek beperkt zich tot de Android Browser. Chrome nam sinds Android 4.2 de rol van de Android Browser over, maar tot versie 4.4 zit de code van die laatste nog verwerkt in andere applicaties waarmee je kan surfen.
Hoewel de Android Browser intussen gedateerd is, wil dat niet zeggen dat niemand de lekke software nog gebruikt. Integendeel: 20,61 procent van het mobiele surfen gebeurt met de onveilige browser, terwijl Chrome slechts een marktaandeel van 19,66 procent heeft.
Chrome
Gebruik je nog een oude versie van Android, en heb je de Android Browser er nog op staan, dan is het in afwachting van een patch voor het beveiligingslek een goed idee om een alternatieve browser zoals Chrome te downloaden.
Toen Baloch de bug rapporteerde aan Google claimde de internetgigant dat het resultaat niet te repliceren was. Iets later draaide de zoekgigant bij. In een statement stelt google dat “Androidgebruikers die Chrome als browser hebben, of een toestel met Android 4.4 bezitten, niet getroffen worden door de bug.” Voor oudere versies van Android stelde Google intussen een patch ter beschikking op het Android Open Source project. Nu is het wachten totdat de fabrikanten die update doorsturen naar hun klanten.
