Der britische IT-Sicherheitsexperte Thomas Cannon hat einen groben Programmfehler im Smartphone-Betriebssystem Android entdeckt. Ein Angreifer muss sein Opfer nur auf eine präparierte Webseite locken und erhält Zugriff auf alle Daten, die auf der SD-Karte des Geräts gespeichert sind. Der Fehler liegt im Browser von Android und seinem Umgang mit Javascript-Inhalten. So versäumt es der Browser, den Nutzer nach seiner Zustimmung zu fragen, bevor er eine Datei von einer Webseite auf die SD-Karte speichert. Ebenso warnt er nicht, bevor er ein Javascript ausführt.
Angreifer können so vertrauliche Daten von der SD-Karte — und potentiell auch von anderen Orten des Smartphones — auslesen und beispielsweise zurück auf die Webseite posten. Zudem lässt sich in solchen Dateien schädlicher Code verstecken, den das Android-Betriebssystem ohne Rückfrage ausführt.
Cannon hat Google über das Sicherheitsproblem informiert. Im entsprechenden
Eintrag in seinem Blog schreibt er, das Unternehmen habe sofort reagiert, nehme das Problem ernst und arbeite an einer Lösung. Cannon habe sich dennoch dafür entschieden, die Sicherheitslücke zu veröffentlichen, da er nicht davon ausgehe, dass ein Fix schnell zur Verfügung steht. Android-Nutzer sollten vielmehr Eigeninitiative ergreifen und sich selbst schützen, indem sie