Hannover. Android-Veteranen aufgepasst: Die Sicherheitslücke in Androidversion 4.3 und älter erlaubt Angreifern, viel Unheil auf den Smartphones anzurichten.
Die meisten Sicherheitslücken für Computer und Smartphones sind für viele Endnutzer eher theoretische Probleme. Doch die vor kurzer Zeit bekanntgewordene Webview-Sicherheitslücke auf älteren Android-Smartphones, ist ein ernstes Problem, wie ein Test von "heise security" gezeigt hat. Die Experten konnten nachweisen, dass über manipulierte Webseiten weitreichender Zugriff auf die Geräte möglich ist.
Wer Android 4.3 oder älter nutzt, sollte dringend dem Ratschlag von Google folgen und den mitgelieferten Browser ihres Smartphones durch einen moderneren ersetzen. Als Beispiele werden Chrome und Firefox genannt. Beide gibt es kostenlos im Play Store.
Als Grundlage des Tests diente eine Angriffssoftware des Sicherheitsforschers Tod Bearsley. Damit war es möglich, Webseiten zu erstellen, die unsichtbar im Hintergrund andere Webseiten fernsteuern. So könnte etwa auf einem Smartphone eine Webseite aufgerufen werden, die unsichtbar im Hintergrund auf die E-Mails im eingeloggten Webmailer zugreift. Auch Apps könnten auf diese Art installiert werden. Der Exploit erlaubt auch den unsichtbaren Aufruf der Web-Version von Googles Play Store inklusive App-Installation. Andere Lücken erlaubten das Ausführen zahlreicher Befehle, etwa das unbemerkte Einschalten des Mikrofons, oder das Abfragen aller im Browser gespeicherten Cookies.
Auch wenn Google den Zugriff auf die Web-Version des Play Stores mit dem betroffenen Anroid-Browser mittlerweile einschränkt, ist das Problem damit nicht aus der Welt, so das Urteil der Experten. Die grundsätzliche Unsicherheit des Systems - davon ist momentan noch knapp jeder zweite Androidnutzer betroffen - soll nämlich nicht mehr verbessert werden. Deswegen sollten Nutzer dringend den Browser wechseln und nachsehen, ob tatsächlich die bestmögliche Androidversion auf ihrem Smartphone läuft. Alle Versionen ab 4.4 (Kitkat) sind von dieser Sicherheitslücke nicht betroffen. (dpa)