Een lek dat in 75% van de Android-toestellen aanwezig is is een grote privacyramp, zo waarschuwt een beveiligingsexpert. Via de kwetsbaarheid kan een kwaadaardige site de inhoud van andere geopende websites bekijken. De aanvaller kan zo bijvoorbeeld webmaildata uitlezen en zien wat de browser ziet.
Ook is het mogelijk om het sessiecookie van de aangevallen gebruiker te stelen, waardoor de aanvaller de sessie volledig kan overnemen en in naam van het slachtoffer bijvoorbeeld e-mails kan lezen en versturen. De kwetsbaarheid bevindt zich in de Android Open Source Platform (AOSP) browser en zorgt ervoor dat de Same-Origin Policy (SOP) beveiliging omzeild kan worden.
"Dit is een privacyramp. De Same-Origin Policy is de hoeksteen van webprivacy en is belangrijk onderdeel voor browserbeveiliging", zegt Todd Beardsley van beveiligingsbedrijf Rapid7. Het lek was ontdekt door beveiligingsonderzoeker Rafay Baloch, die de kwetsbaarheid op 1 september via zijn blog openbaar maakte. Toen Baloch de kwetsbaarheid rapporteerde kreeg hij geen enkele reactie van Google.
De kwetsbaarheid is aanwezig in alle Android-versies voor Android 4.4. Dat houdt in dat 75% van de Android-toestellen risico loopt. Er is inmiddels een module voor de hackertool Metasploit verschenen waardoor het mogelijk is om van het lek misbruik te maken. Metasploit is een tool voor hackers, security professionals en penetratietesters om de veiligheid van systemen en netwerken te testen. Later deze week zal Beardsley een videodemonstratie van de kwetsbaarheid online zetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.