Der Sicherheitsexperte Thomas Cannon hat eine Sicherheitslücke im Android-Browser entdeckt, die es Angreifern erlaubt, lokale Dateien des Anwenders vom Smartphone auszulesen, wenn dieser eine präparierte Webseite besucht. Offenbar betrifft die Schwachstelle sämtliche Android-Versionen, einschließlich der derzeit aktuellen Version 2.2 (Froyo). heise Security konnte dies auf einem Google Nexus One und einem Samsung Galaxy Tab jeweils mit Android 2.2 nachvollziehen. Cannon hat es eigenen Angaben zufolge mit einem HTC Desire (2.2) und dem Android-Emulator (1.5, 1.6 und 2.2) aus Googles SDK verifiziert.
Da der Browser in einer Sandbox läuft, kann der Angreifer auf diesem Wege nur auf Benutzerdaten und nicht etwa auf Systemverzeichnisse zugreifen. Außerdem muss der Angreifer den Pfad seines potenziellen Diebesgutes kennen. Ein geeignetes Ziel wären Kamerafotos, die mit einer fortlaufenden Nummer gespeichert werden oder stets gleich heißende Anwendungsdateien. Darin können sich auch vertrauliche Daten befinden, etwa von der Onlinebanking-App.
Quelle: heise.de
Die vollständige News finden Sie >hier< !