Websider som åpnes i den gamle standardnettleseren i Android kan bli avlyttet. Omtrent tre av fire Android-brukere benytter enheter med en Android-versjon hvor den Android/AOSP Browser er standard nettleser.

Mange Android-brukere bør bytte nettleser

– En personvernkatastrofe, sier utvikler.

Brukere av mange eldre eller forholdsvis billige Android-telefoner og -nettbrett bør ta i bruk en annen nettleser enn den som følger med operativsystemet. Årsaken er en alvorlig sårbarhet som finnes i Android Browser, nettleseren som var standardnettleser i operativsystemet i Android 4.3 og eldre. Med Android 4.4 «KitKat» ble Android Browser erstattet av Chrome, men bare omtrent hver fjerde Android-enhet har KitKat-utgaven installert.

Nettlesere som Chrome, Firefox og Opera er alternativer som kan kjøres på de fleste Android-enheter – Firefox også på enheter med eldre Android-utgave enn 4.0. Disse nettleserne kan settes til å være standardnettleser på enheten, slik at ingen ordinære websider vil bli åpnet i den Android Browser.

Android Browser, eller AOSP Browser, som den også kalles, blir i utgangspunktet ikke lenger vedlikeholdt av Google. Siden den er basert på åpen kildekode, kan leverandørene av de berørte enhetene riktignok fjerne sårbarheten på egenhånd. Men sannsynligheten for at noen kommer til å gjøre dette, er dessverre temmelig liten. Det er sjelden av leverandørene bryr seg om å gi ut oppdateringer til de billigste enhetene, som fortsatt ofte leveres med Android-versjoner som er berørt av denne sårbarheten. Et unntak er enhetene i Googles Android One-program. Men disse kommer først i salg i disse dager, og bare i helt andre markeder enn det norske.

Sårbarheten

En personvern-katastrofe! Sårbarheten i nettleseren skal ha blitt oppdaget av sikkerhetsforskeren Rafay Baloch, som omtalte den allerede den 1. september. Men virkelig oppmerksomhet fikk den ikke før det denne uken ble kjent at den kan utnyttes ved hjelp av en modul til sikkerhetsverktøyet Metasploit. Metasploit-utvikleren Tod Beardsley kaller sårbarheten for en personvernkatastrofe.

Sårbarheten dreier seg om det som kalles for «Same Origin Policy». I utgangspunktet skal en ikke et nettsted med domene A kunne få tilgang til egenskaper som cookies, posisjon og skjemadata som tilhører et nettsted med domene B. Men Baloch demonstrerer at det i Android Browser er mulig å omgå denne regelen.

Baloch opplyser her at han varslet Google om sårbarheten lenge før han blogget om den. Først skal Googles sikkerhetsteam ikke ha kunnet reprodusere feilen. Etter mer testing kunne de likevel reprodusere den og startet arbeidet med en fiks. Denne beskjeden fikk Baloch like etter at blogginnlegget ble publisert. Men igjen er sannsynligheten for at denne sikkerhetsfiksen vil bli gjort tilgjengelig til alle de berørte enhetene, svært liten.

    Les også:

Til toppen