Angreifer können Android-Geräte über Schwachstellen in den Webbrowsern Dolphin und Mercury attackieren und Schadcode ausführen.
Die Webbrowser Dolphin und Mercury sind auf Android-Smartphones und Tablets aktuell nicht sicher, warnt der Sicherheitsforscher rotlogix in seinem Blog. Beide Anbieter sind informiert und haben Patches angekündigt.
Die Schwachstelle in Dolphin findet sich in der Download-Funktion für neue Themes zur Gestaltung der grafischen Oberfläche. Hat ein Angreifer Zugriff auf den Netzwerkverkehr, kann er sich Schreibrechte erschleichen. Das kann der Angreifer dann dafür missbrauchen, um eigenen Code im Kontext des Webbrowsers auszuführen. Der Sicherheitsforscher empfiehlt allen Nutzern, die Download-Funktion nicht zu nutzen und auf den Fix des Anbieters zu warten.
Im Mercury-Webbrowser klaffen zwei Lücken, eine im Uniform Resource Identifier (URI scheme) und die andere in der WLAN-Transfer-Funktion. Kombiniert ein Angreifer beide Schwachstellen und lockt den Nutzer auf eine selbst gebaute Webseite, kann er Schadcode im Daten-Ordner von Mercury ausführen.