image

Zero day-lekken in Dolphin en Mercury Browsers voor Android

maandag 24 augustus 2015, 10:54 door Redactie, 0 reacties

In de Dolpin en Mercury Browsers voor Android bevinden zich beveiligingslekken waardoor een aanvaller willekeurige code op het toestel kan uitvoeren of de bestanden van de browser kan lezen en waarvoor nog geen update van de ontwikkelaars voor beschikbaar is. Dat meldt onderzoeker "rotlogix".

De Dolphin Browser is tussen de 50 miljoen en 100 miljoen keer geïnstalleerd en claimt de beste Android-browser te zijn. Om de kwetsbaarheid aan te vallen moet een aanvaller zich tussen het internet en de gebruiker bevinden, bijvoorbeeld bij een draadloos netwerk. Vervolgens moet de aanvaller wachten totdat de gebruiker een nieuw Dolphin Browser-theme downloadt en installeert. Via themes kunnen gebruikers het uiterlijk van de browser aanpassen.

Het downloaden vindt plaats over HTTP, waardoor een aanvaller een aangepast theme kan aanbieden. Het kwaadaardige theme laat de aanvaller vervolgens willekeurige code in de context van de browser uitvoeren. De ontwikkelaars van de Dolphin Browser zijn inmiddels ingelicht, maar een update is nog niet beschikbaar. In afwachting van de update krijgen gebruikers het advies geen nieuwe themes te downloaden in een netwerkomgeving die ze niet beheren. Een andere mogelijkheid is het tijdelijk gebruiken van een andere browser.

Mercury Browser

Een andere browser voor Android waar de onderzoeker problemen in vond is de Mercury Browser. Deze browser is tussen de 50.000 en 100.000 keer gedownload. Via verschillende kwetsbaarheden in de browser kan een aanvaller bestanden in de data-directory van de browser lezen en aanpassen. Voor het uitvoeren van de aanval moet de gebruiker een speciaal geprepareerd HTML-bestand openen. Ook in dit geval is er nog geen oplossing beschikbaar. Gebruikers krijgen dan ook het advies om de browser van hun toestel te verwijderen en een alternatief te gebruiken.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.