Eine neu entdeckte Sicherheitslücke, die alle Android-Systeme betrifft, erlaubt Angreifern das Ausführen von Schadcode über ungesicherte In-App-Werbung.

Bei der Einblendung von Werbung in kostenlosen Apps- und Spielen wird bei Android häufig WebView verwendet, um die Verbindung zu den Werbe-Servern herzustellen. Dies geschieht über eine nicht gesicherte Verbindung, was es ermöglicht, beliebigen JavaScript-Code in die Android-Geräte einzuschleusen und auszuführen, wie MWR Labs herausgefunden hat. Angriffe können etwa einfach erfolgen, wenn Zugriff auf das WLAN besteht, in dem sich auch das Zielgerät befindet. Laut MWR waren bei Tests 62 der 100 beliebtesten Android-Apps für solche Attacken verwundbar.

Die Sicherheitsexperten haben die Lücke gefunden, als sie sich die diverse Entwickler-Toolkits, die App-Programmierern von Werbenetzwerken zur Verfügung gestellt bekommen, analysiert haben. Praktisch alle Gratis-Apps verwenden diese Toolkits, um ihre Apps mit Werbung finanzieren zu können, weshalb sich eventuelle Lücken schnell weiterverbreiten. Viele aktuelle Toolkits sind laut MWR zwar teilweise sicher, es werden aber oft ältere Versionen verwendet.

via FZ