Laut einer Statistik der Sicherheitsforscher von Secunia hat ein Google-Produkt im Jahr 2014 eine unrühmliche Topliste angeführt: Google Chrome ist laut dem "Vulnerability Report 2014" die Software mit den meisten Sicherheitslücken und liegt dabei noch weit vor den Konkurrenten Internet Explorer oder Firefox. Gemessen wurden die Daten auf der Grundlage von insgesamt 15.000 Sicherheitslücken in 3.900 verschiedenen Produkten. Doch viel Aussagekraft hat diese Statistik nicht.
Schlagwort: sicherheitslücke
Laut einer Statistik der Sicherheitsforscher von Secunia hat ein Google-Produkt im Jahr 2014 eine unrühmliche Topliste angeführt: Google Chrome ist laut dem "Vulnerability Report 2014" die Software mit den meisten Sicherheitslücken und liegt dabei noch weit vor den Konkurrenten Internet Explorer oder Firefox. Gemessen wurden die Daten auf der Grundlage von insgesamt 15.000 Sicherheitslücken in 3.900 verschiedenen Produkten. Doch viel Aussagekraft hat diese Statistik nicht.
Wenn es bei einem Betriebssystem mit einer so hohen Verbreitung wie Android eine Lücke gibt, dann ist immer gleich ein extrem hoher Nutzerkreis betroffen - und so auch in diesem Fall: Sicherheitsforscher haben eine Lücke in dem System gefunden mit der sich eine App den vollen Systemzugriff sichern kann, ohne dass der Nutzer darüber informiert wird. Die Lücke klafft schon bei der Installation einer solchen App. Betroffen sind alle Systeme bis einschließlich Android 4.3.
In dieser Woche fand fand der 8. Pwn2Own-Wettbewerb statt, bei dem es darum geht unbekannte Schwachstellen und Sicherheitslücken in bekannter Hardware und Software aufzudecken. In diesem Jahr ist das Ergebnis aus Nutzer-Sicht gesehen katastrophal, denn alle vier großen Browser konnten gehackt und beliebiger Code auf dem Rechner ausgeführt werden. Auch die Sicherheitsbarrieren des Chrome-Browsers konnten überwunden werden, was dem Entdecker ein Rekord-Preisgeld von 110.000 Dollar eingebracht hat.
Seit einigen Tagen steht Google in Kritik, da man verkündet hatte, eine riesige Sicherheitslücke in Android nicht stopfen zu wollen. Diese befindet sich in der WebView-Komponente und kann relativ leicht ausgenutzt werden, einen vernünftigen Workaround dazu gibt es nicht. Obwohl etwa 700 Millionen Nutzer betroffen sind, weigert sich Google einen Patch dafür zu entwickeln und herauszugeben. Als Begründung gibt man an, dass man nur Updates für die letzten beiden Android-Versionen entwickelt.
Mit der in Chrome integrierten Web Speech API lassen sich sehr leicht Sprachkommandos von Nutzern direkt im Browser aufnehmen, erkennen und in Textform umwandeln. Wie ein amerikanischer Blogger nun entdeckt hat, lässt sich diese Funktion aber auch sehr leicht dazu nutzen, den Nutzer ohne sein Wissen abzuhören und alle Hinweise darauf zu verstecken. Dabei nutzt er nur die zur Verfügung gestellten Anpassungsmöglichkeiten.
Der Entwickler Ibrahim Balic hat eine mittelschwere Sicherheitslücke in Android 4.0+ entdeckt, mit dem sich das Smartphones eines Nutzers unbrauchbar machen und in eine Endlosschleife versetzen lässt. Durch einen einfachen Eintrag in einer XML-Datei einer App, die der Nutzer natürlich aber vorher installiert haben muss, wird das Gerät endlos neu gestartet. Mit diesem Bug hat der Entwickler sogar den gesamten Play Store lahm legen können.
Im Web und unzähligen Blogs machen gerade Berichte über eine "Sicherheitslücke" in Google Chrome die Runde, mit dem alle gespeicherten Passwörter im Klartext angezeigt werden können. Allerdings handelt es sich dabei um eine Standard-Funktion über die auch andere Browser verfügen und bereits seit vielen Jahren in Chrome integriert ist.
In wenigen Wochen findet wieder ein Pwn2Own competition statt. Google wird sich erneut daran beteiligen und wird insgesamt 3,14159 (also π) Millionen US-Dollar für gefundene Sicherheitslücken in Google Chrome OS ausschütten.
Was anfänglich nach einer Sicherheitslücke in populären Samsung Smartphones aussah zieht nun sehr viel größere Kreise im gesamten Android-Markt: Mittels eines einfachen URL-Aufrufs können USSD-Steuerbefehle an das System weitergegeben und ausgeführt werden. Diese können etwa die SIM sperren oder im schlimmsten Fall das komplette System resetten.
Allgemein gilt der Chrome als Festung unter den Browsern. Durch die Sandbox-Technik, welche nach und nach auch von anderen Browser-Herstellern übernommen wird, ist es so gut wie unmöglich auszubrechen und beliebigen Code auszuführen. Zwei mal ist es aber bisher doch gelungen - und eine Variante wird jetzt detailiert von Google geschrieben.