Reklama

Ste ešte inovovali na Android 4.4 KitKat? Tu je niečo, čo by vám mohlo trochu povzbudiť, aby ste urobili zmenu: vážny problém so skladom prehliadač na telefónoch pred súpravou KitKat bol objavený a mohol by umožniť škodlivým webom prístup k údajom iných používateľov webové stránky. Znie to strašidelne? Toto je potrebné vedieť

Otázka - ktorá bola prvýkrát objavil výskumník Rafay Baloch - vidí škodlivé webové stránky, ktoré môžu vložiť svojvoľný JavaScript do iných snímok, ktoré by mohli viesť k ukradnutiu súborov cookie alebo k štruktúre a označeniu webových stránok, ktoré sú priamo ovplyvňované.

Výskumníci v oblasti bezpečnosti sa tým veľmi obávajú. Rapid7 - tvorcovia populárneho rámca pre testovanie bezpečnosti, Metasploit - popisujúc to ako „nočná mora v súkromí“. Zaujíma vás, ako to funguje, prečo by ste sa mali báť a čo s tým môžete urobiť? Prečítajte si viac.

Základný bezpečnostný princíp: Bypassed

Základný princíp, ktorý by mal v prvom rade zabrániť tomuto útoku, sa nazýva politika rovnakého pôvodu. Stručne povedané, to znamená, že JavaScript na strane klienta spustený na jednej webovej stránke by nemal byť schopný zasahovať do inej webovej stránky.

instagram viewer

Táto politika je základom bezpečnosti webových aplikácií, odkedy bola prvýkrát uvedená v roku 1995 s Netscape Navigator 2. Každý webový prehľadávač implementoval túto politiku ako základnú bezpečnostnú funkciu, a preto je neuveriteľne zriedkavé vidieť takúto zraniteľnosť vo voľnej prírode.

Ak chcete získať viac informácií o tom, ako funguje SOP, môžete si pozrieť vyššie uvedené video. Uskutočnilo sa to na udalosti OWASP (Open Web App Security Project) v Nemecku a je to jedno z najlepších vysvetlení protokolu, ktorý som doteraz videl.

Ak je prehliadač zraniteľný voči obtoku SOP, existuje veľa priestoru na poškodenie. Útočník by mohol urobiť čokoľvek, od použitia lokalizačného rozhrania API zavedeného so špecifikáciou HTML5, aby zistil, kde sa nachádza obeť, až po krádež súborov cookie.

Našťastie väčšina vývojárov prehliadača berie tento druh útoku vážne. To je ešte pozoruhodnejšie vidieť taký útok „vo voľnej prírode“.

Ako útok funguje

Takže to vieme Rovnaká slušnosť pôvodu je dôležitá. A vieme, že masívne zlyhanie zásob prehliadača Android môže potenciálne viesť k tomu, že útočníci obídu toto zásadné bezpečnostné opatrenie? Ako to však funguje?

Dôkaz koncepcie, ktorý dal Rafay Baloch, vyzerá trochu takto:
[UŽ NIE JE K DISPOZÍCII]
Čo tu teda máme? Je tu iFrame. Toto je prvok HTML, ktorý sa používa na povolenie vloženia inej webovej stránky na inú webovú stránku. Zvyčajne sa nepoužívajú tak často ako predtým nočnú moru SEO 10 najčastejších chýb SEO, ktoré môžu zničiť váš web [časť I] Čítaj viac . Stále ich však občas nájdete a sú stále súčasťou špecifikácie HTML a ešte neboli zastarané.

Nasleduje a Reprezentácia značky HTML vstupné tlačidlo. Toto obsahuje nejaký špeciálne vytvorený JavaScript (všimnite si koncové „u0000“?), Ktoré po kliknutí vydá názov domény aktuálneho webu. Kvôli chybe v prehliadači Android však skončí prístupom k atribútom iFrame a nakoniec vytlačí „rhaininfosec.com“ ako výstražné pole pre JavaScript.

android-html-attack

V prehliadačoch Google Chrome, Internet Explorer a Firefox by sa tento typ útoku jednoducho vyskytol. V závislosti od prehliadača by tiež vytvoril denník v konzole JavaScript, ktorý informuje, že prehliadač útok zablokoval. Až na to, z nejakého dôvodu, prehliadač zásob na zariadeniach so systémom Android 4.4 pred verziou to nerobí.

android-html-console

Vytlačenie názvu domény nie je strašne veľkolepé. Získanie prístupu k súborom cookie a spustenie ľubovoľného kódu JavaScript na inej webovej stránke je však dosť znepokojujúce. Našťastie je tu niečo, čo sa dá urobiť.

Čo sa dá urobiť?

Používatelia tu majú niekoľko možností. Najskôr prestaňte používať bežný prehliadač Android. Je stará, je neistá a na trhu je teraz oveľa presvedčivejších možností. Google má vydal Chrome pre Android Google Chrome konečne uvádza na trh systém Android (iba ICS) [Novinky] Čítaj viac (aj keď iba pre zariadenia so systémom Ice Cream Sandwich a vyšším) a sú k dispozícii aj mobilné verzie prehliadačov Firefox a Opera.

Predovšetkým Firefox Mobile stojí za to venovať pozornosť. Okrem toho ponúka úžasný zážitok z prehliadania, ale tiež vám umožní spustiť aplikácie pre vlastný mobilný operačný systém Mozilly, Firefox OS Top 15 aplikácií pre operačný systém Firefox: konečný zoznam pre nových používateľov operačného systému FirefoxSamozrejme pre to existuje aplikácia: Koniec koncov je to webová technológia. Mobilný operačný systém Mozilla Firefox OS, ktorý namiesto natívneho kódu používa pre svoje aplikácie HTML5, CSS3 a JavaScript. Čítaj viac , ako aj nainštalovať množstvo úžasných doplnkov 10 najlepších doplnkov Firefox pre AndroidJedným z najlepších aspektov prehliadača Firefox v systéme Android je jeho doplnková podpora. Vyskúšajte tieto základné doplnky Firefoxu pre Android. Čítaj viac .

Ak chcete byť obzvlášť paranoidní, existuje dokonca aj port NoScript pre Firefox Mobile. Je však potrebné poznamenať, že väčšina webových stránok je do veľkej miery závislá JavaScript na vykreslenie doplnkov na strane klienta Čo je to JavaScript a ako to funguje? [Vysvetlenie technológie] Čítaj viac , a používanie NoScript takmer určite rozbije väčšinu webových stránok. Možno to vysvetľuje, prečo to James Bruce opísal ako súčasť ‘trifecta zla AdBlock, NoScript a Ghostery - The Trifecta Of EvilV posledných mesiacoch ma kontaktovalo veľké množstvo čitateľov, ktorí mali problémy so sťahovaním našich sprievodcov alebo prečo nevidia načítanie prihlasovacích tlačidiel alebo komentárov; av ... Čítaj viac ‘.

Nakoniec, ak je to možné, odporúčame vám okrem inštalácie najnovšej verzie operačného systému Android aktualizovať aj prehliadač Android na najnovšiu verziu. To zaisťuje, že ak spoločnosť Google uvoľní opravu tejto chyby ďalej v riadku, budete chránení.

Aj keď to stojí za zmienku existujú problémy, ktoré by tento problém mohli zasiahnuť používateľov systému Android 4.4 KitKat. Neobjavilo sa však nič, čo by bolo pre mňa dosť podstatné na to, aby som odporučil čitateľom prepnúť prehliadač.

Hlavná chyba v ochrane osobných údajov

Nerobte chybu, je to hlavný problém so zabezpečením smartfónov Čo skutočne potrebujete vedieť o bezpečnosti smartfónov Čítaj viac . Prepnutím na iný prehliadač sa však stávate nezraniteľným. Zostáva však niekoľko otázok týkajúcich sa celkovej bezpečnosti operačného systému Android.

Prejdete na niečo trochu bezpečnejšie, napríklad super bezpečné iOS Bezpečnosť smartfónov: Môžu telefóny iPhone získať malvér?Škodlivý softvér ovplyvňujúci „tisíce“ telefónov iPhone môže ukradnúť poverenia App Store, ale väčšina používateľov systému iOS je úplne bezpečná - čo teda súvisí s iOS a nečestným softvérom? Čítaj viac alebo (môj obľúbený) Blackberry 10 10 dôvodov, prečo dať BlackBerry 10 vyskúšať ešte dnesBlackBerry 10 má niekoľko celkom neodolateľných funkcií. Tu je desať dôvodov, prečo by ste si to mali skúsiť vyskúšať. Čítaj viac ? Alebo snáď zostanete lojálni k systému Android a inštalujete zabezpečenú ROM ako Paranoid Android alebo Omirom 5 dôvodov, prečo by ste mali do svojho zariadenia s Androidom OmniROM FlashVďaka množine voliteľných možností pamäte ROM môže byť ťažké vyriešiť iba jednu - mali by ste však skutočne zvážiť OmniROM. Čítaj viac ? Alebo možno nemáte ani obavy.

Poďme si o tom rozprávať. Pole s komentármi je uvedené nižšie. Nemôžem sa dočkať, až budem počuť vaše myšlienky.

Matthew Hughes je vývojár a spisovateľ softvéru z anglického Liverpoolu. Málokedy ho nájde bez šálky silnej čiernej kávy v ruke a úplne zbožňuje jeho Macbook Pro a fotoaparát. Jeho blog si môžete prečítať na stránke http://www.matthewhughes.co.uk a sledujte ho na Twitteri na adrese @matthewhughes.