Eine Lücke im AOSP-Browser von Android erlaubt es Webseiten die Daten anderer Seiten auszulesen. Die App wird in fast allen Android-Versionen vor Kit Kat mitgeliefert und dient vielen Custom-ROMs ebenfalls als Standard-Browser.

In der AOSP-Version des Android-Browsers klafft eine Sicherheitslücke, die es Angreifern erlaubt, an die Daten zu gelangen, die ein Nutzer bei anderen Webseiten gespeichert hat (CVE-2014-6041). Durch diese sogenannten Same-Origin-Policy-Lücke kann eine bösartige Webseite die Cookies sowie Ortungs- und Sessiondaten einer anderen Seite abgreifen, die der Nutzer ebenfalls offen hat.

Hier können Sie die ganze Meldung auf heise-online lesen.

Quelle: heise