Eine seit November 2010 bekannte Sicherheitslücke im Android-Browser ist noch nicht geschlossen.
Diese ermöglicht den Diebstahl persönlicher Daten und ist in ähnlicher Weise auch noch in der aktuellen Version 2.3 (Gingerbread) des Smartphone-Betriebssystems offen. Der Patch, der die Lücke schließen sollte, könne umgangen werden, berichtet der Sicherheitsforscher Xuxian Jiang von der Universität von North Carolina.
Die ursprünglich von dem Sicherheitsexperten Thomas Cannon aufgedeckte Lücke setzt voraus, dass der Anwender sich auf eine mit Schadcode präparierte Website locken lässt. Canon hatte das Problem veröffentlicht, nachdem es zunächst hieß, dass Google es in Android 2.3 nicht beseitigen wolle. Es wurde dann aber doch noch ein – offenbar nur notdürftiger – Patch eingefügt. Laut Jiang hat das Security Team jetzt in Aussicht gestellt, die Sicherheitslücke mit dem nächsten größeren Android-Update endgültig zu schließen.
Um sich bis zum Erscheinen des Updates zu schützen, sieht Jiang die Möglichkeit, JavaScript im Android-Browser abzuschalten, einen anderen Browser wie etwa Firefox zu benutzen oder das Verzeichnis /sdcard auszuhängen. Das würde allerdings die Benutzbarkeit des Smartphones stark einschränken.