Тази грешка в браузъра за Android ще ви надстрои до KitKat

реклама

Предстои ви да надстроите до Android 4.4 KitKat? Ето нещо, което може да ви насърчи малко да направите превключването: сериозен проблем със запасите е открит браузър на телефони преди KitKat и може да позволи на злонамерените уебсайтове да имат достъп до данните на други уебсайтове. Звучи страшно? Ето какво трябва да знаете

Въпросът - кой беше за първи път открит от изследователя Рафай Балох - вижда, че злонамерените уебсайтове могат да вмъкват произволен JavaScript в други рамки, в които могат да се видят откраднати бисквитки, или директно да се намесва структурата и маркирането на уебсайтове.

Изследователите по сигурността са отчаяно притеснени от това, като Rapid7 - създателите на популярната рамка за тестване на сигурността, Metasploit - описвайки го като „кошмар за поверителност“. Любопитно как работи, защо трябва да се притеснявате и какво можете да направите за това? Прочетете за повече.

Основен принцип на сигурност: Байпасиран

Основният принцип, който трябва да предотврати появата на тази атака на първо място, се нарича политиката на същия произход. Накратко, това означава, че JavaScript от страна на клиента, работещ в един уебсайт, не трябва да може да се намесва в друг уебсайт.

Тази политика е основата на сигурността на уеб приложенията, тъй като е въведена за първи път през 1995 г. с Netscape Navigator 2. Всеки отделен уеб браузър е приложил тази политика като основна функция за защита и в резултат е невероятно рядко да видите такава уязвимост в природата.

За повече информация как работи SOP, можете да гледате горното видео. Това беше направено по време на събитие OWASP (Open Web App Security Security) в Германия и е едно от най-добрите обяснения на протокола, който съм виждал досега.

Когато браузърът е уязвим за атака на байпас на SOP, има много място за щети. Нападателят може да направи каквото и да било, от използването на API за местоположение, въведено със спецификацията HTML5, за да разбере къде се намира жертвата, чак до кражба на бисквитки.

За щастие, повечето разработчици на браузъри приемат този вид атака сериозно. Което прави още по-забележимо да видите такава атака „сред природата“.

Как работи атаката

Значи, ние знаем Политиката на същия произход е важна. И знаем, че мащабният провал на наличния браузър Android потенциално може да доведе до нападатели, заобикалящи тази решаваща мярка за сигурност? Но как работи?

Е, доказателството за концепцията, дадено от Рафай Балах, изглежда малко така:
[ВЕЧЕ НЕ СЕ ПРЕДЛАГА]
И така, какво имаме тук? Е, има iFrame Това е HTML елемент, който се използва, за да позволи на уебсайтовете да вграждат друга уеб страница в друга уеб страница. Те не се използват толкова, колкото преди, до голяма степен защото са SEO кошмар 10 често срещани грешки в SEO, които могат да унищожат вашия уебсайт [част I] Прочетете още . Въпреки това, все още често ги намирате от време на време и те все още са част от спецификацията на HTML и все още не са оттеглени.

След това е a HTML маркер, представляващ бутон за въвеждане Това съдържа някои специално изработени JavaScript (забележете, че след \ "u0000"?), Който при щракване извежда името на домейна на текущия уебсайт. Поради грешка в браузъра Android той получава достъп до атрибутите на iFrame и отпечатва „rhaininfosec.com“ като поле за предупреждение на JavaScript.

В Google Chrome, Internet Explorer и Firefox този тип атака просто ще бъде грешка. Той (в зависимост от браузъра) също ще създаде лог в конзолата на JavaScript, информиращ, че браузърът блокира атаката. Освен по някаква причина, браузърът за акции на устройства с Android 4.4 не прави това.

Отпечатването на име на домейн не е много впечатляващо. Въпреки това, получаването на достъп до бисквитки и изпълнение на произволен JavaScript в друг уебсайт е доста тревожно. За щастие, има нещо, което може да се направи.

Какво може да се направи?

Потребителите имат няколко опции тук. Първо, спрете да използвате браузъра с налични Android. Той е стар, несигурен е и на пазара има много по-убедителни опции в момента. Google има пусна Chrome за Android Google Chrome накрая стартира за Android (само за ICS) [Новини] Прочетете още (макар че само за устройства, работещи със сандвич на Ice Cream и по-нови), а има дори и мобилни варианти на Firefox и Opera.

По-специално Firefox Mobile си заслужава да се обърне внимание. Освен че предлага невероятно преживяване при сърфиране, той също ви позволява да стартирате приложения за собствената мобилна операционна система на Mozilla, Firefox OS Топ 15 приложения на Firefox OS: Най-добрият списък за нови потребители на ОС на FirefoxРазбира се, че има приложение за това: В крайна сметка това е уеб технология. Мобилската операционна система Firefox OS, която вместо родния код, използва HTML5, CSS3 и JavaScript за своите приложения. Прочетете още , както и да инсталирате a богатство от страхотни добавки 10-те най-добри Firefox добавки за AndroidЕдин от най-добрите аспекти на Firefox за Android е неговата поддръжка за добавки. Вижте тези основни добавки на Firefox за Android. Прочетете още .

Ако искате да сте особено параноични, има дори пренасяне на NoScript за Firefox Mobile. Въпреки това, трябва да се отбележи, че повечето уебсайтове са силно зависими JavaScript за рендериране на клиентски вкусотии Какво е JavaScript и как работи? [Обяснена технология] Прочетете още и използването на NoScript почти сигурно ще наруши повечето уебсайтове. Това може би обяснява защо Джеймс Брус го описа като част от „трифекта на злото AdBlock, NoScript & Ghostery - Трифекта на злотоПрез последните няколко месеца се свързах с голям брой читатели, които са имали проблеми при изтеглянето на нашите ръководства или защо не могат да видят бутоните за вход или коментарите да не се зареждат; и в... Прочетете още ‘.

И накрая, ако е възможно, ще бъдете насърчени да актуализирате вашия браузър Android до най-новата версия, в допълнение към инсталирането на най-новата версия на операционната система Android. Това гарантира, че ако Google пусне поправка на тази грешка по-надолу по линията, вие сте защитени.

Въпреки че, заслужава да се отбележи това има мърморене, че този проблем може потенциално да засегне потребителите на Android 4.4 KitKat. Не се появи обаче нищо достатъчно, за да мога да посъветвам читателите да сменят браузърите.

Основна грешка в поверителността

Не се заблуждавайте, това е a основен проблем със сигурността на смартфона Какво наистина трябва да знаете за сигурността на смартфона Прочетете още . Въпреки това, преминавайки към друг браузър, вие ставате практически неуязвим. Въпреки това остават редица въпроси относно цялостната сигурност на операционната система Android.

Ще преминете ли към нещо малко по-сигурно, например супер сигурен iOS Сигурност на смартфона: Могат ли iPhone-и да получат злонамерен софтуер?Зловредният софтуер, засягащ „хиляди“ iPhones, може да открадне идентификационните данни на App Store, но по-голямата част от потребителите на iOS са напълно безопасни - така че каква е работата с iOS и измамния софтуер? Прочетете още или (моя любим) Blackberry 10 10 причини да дадете BlackBerry 10 A опитайте днесBlackBerry 10 има някои доста неустоими функции. Ето десет причини, поради които може да искате да го направите. Прочетете още ? Или може би ще останете лоялни към Android и ще инсталирате сигурен ROM като Paranoid Android или Omirom 5 причини, поради които трябва да прехвърлите OmniROM към устройството си с AndroidС куп опции за персонализиран ROM там може да е трудно да се справите само с един - но наистина трябва да помислите за OmniROM. Прочетете още ? Или може би дори не сте толкова притеснени.

Нека да си поговорим за това Полето за коментари е по-долу. Нямам търпение да чуя вашите мисли.