Google flickt teilweise einen Fehler in Chrome für Android 3, drei Jahre nach Offenlegung

Google hat endlich eine Privatsphärenverletzung im Chrome Internetbrowser für Android repariert, welches Nutzer Gerät Modelle und Firmware Versionen enthüllt. Dadurch entstand die Möglichkeit für entfernte Angreifer die unreparierten Geräte zu identifizieren und die bekannten Schwachstellen auszubeuten.

Die Schwachstelle, die noch keine CVE Nummer erhalten hat, ist eine Informations Offenlegung, welche verborgen liegt in der Art wie Google Chrome für Android „Nutzer Vermittler“ oder „User Agent“ erzeugt und die Android Modellnummer und Erstelletikett Information frei gibt, was auch den Gerätenamen und Firmware inkludiert.

Diese Information wird auch an Applikationen gesendet, die WebView und Chrome Tabs ApIs verwendet, was dabei hilft, des Nutzers Fingerabdrücke verfolgen zu können, welche sie für freischaltungen verwenden.

Zum Beispiel: Mozilla/5.0 (Linux; Android 5.1.1; Nexus 6 Build/LYZ28K) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/46.0.2490.34 Mobile Safari/537.36

Yakov Shafranovich, ein Mitarbeiter der Nightwatch Cybersicherheits Firma, meldete diesen Fehler an Google vor drei Jahren. Aber zu dieser Zeit wurde die Fehlermeldung abgelehnt mit den Worten, dass der Browser wie erwünscht funktioniere.

„Während Andoid die Fähigkeit anbietet diese zu überschreiben (über WebSettings.setUserAgent() in WebView), wählen die meisten Applikationen dies nicht zu tun, um die Kompatibilität zu versichern, in dem es sich auf den Standardheader verlässt,“ sagte Shafranovich.

„Für viele Geräte, kann dies nicht nut zur Identifikation des Geräts verwendet werden, sondern auch der Träger, auf dem es ausgeführt wird und des Landes selbst.“

Dieses Privatsphärenproblem kann auch verwendet werden, um das Sicherheits Patch Level zu bestimmen auf dem Gerät und die Schwachstellen des Geräts sind außerdem offengelegt, was der Angreifen ausnutzen kann in einer gezielten Art und Weise.

Wie auch immer, Google hat das Problem inzwischen erkannt und eine Neue Version namens Chrome 70 im Oktober 2018 herausgebracht, nachdem ein weiterer Nutzer einen solchen Fehler gemeldet hatte auf dem Googles Chromium Forum.

Laut des Forschers, entfernt Chrome 70 allerdings nur die Firmware Information des Headers, aber das Hardware Modell Kennung ist immer noch zugänglich in dem User Agent.

Wie auch immer, weil das Update nur für die Applikation selbst und nicht auf dem WebView funktioniert, empfehlen Applikations Entwickler manuelles Überschreiben der User Agent Konfiguration in den Applikationen.

„Außerdem, nicht wie beim Desktop Chrome, auf Android sind keine Änderungen oder Erweiterungen des Headers möglich, außer bei „Desktop Seite aufrufen“ Option am Browser selbst bei einer derzeitigen Sitzung,“ sagt Safranovich in einem neuen Artikel.

„Beide, der Verkäufer als auch der MITRE verweigern dem Problem eine CVE Nummer zu geben, da sie es nicht als Sicherheitsproblem ansehen.“

Shafronvich glaubt, dass alle Versionen von Chrome für Android vor der Version 70 von dieser Sicherhitslücke betroffen sind, daher sollen alle Nutzer früher oder später ihre Version auf Chrome 70 updaten.

Leave a Reply

Your email address will not be published. Required fields are marked *