Publicitate

Ești încă actualizat la Android 4.4 KitKat? Iată ceva care vă poate oferi un pic de încurajare pentru a face trecerea: o problemă serioasă cu stocul browserul de pe telefoanele pre-KitKat a fost descoperit și ar putea permite site-urilor web dăunătoare să acceseze datele altor persoane site-uri web. Sună înfricoșător? Iată ce trebuie să știți

Problema - care a fost descoperită pentru prima dată de cercetătorul Rafay Baloch - vede că site-urile web dăunătoare sunt capabile să injecteze JavaScript arbitrar în alte cadre, care ar putea vedea furate cookie-uri, sau structura și marcarea site-urilor web direct interferate.

Cercetătorii de securitate sunt îngrijorați cu disperare de acest lucru, cu Rapid7 - producătorii popularului cadru de testare a securității, Metasploit - descriind-o drept „coșmar de confidențialitate”. Curios despre cum funcționează, de ce ar trebui să fii îngrijorat și ce poți face în acest sens? Citiți mai multe pentru mai multe.

Un principiu de securitate de bază: ocolit

instagram viewer

Principiul de bază care ar trebui să împiedice acest atac să se producă în primul rând se numește aceeași politică de origine. Pe scurt, înseamnă că JavaScript din partea clientului care rulează pe un site web nu ar trebui să poată interfera cu alt site.

Această politică a fost un fundament al securității aplicațiilor web, încă de la prima introducere în 1995 cu Netscape Navigator 2. Fiecare browser web a implementat această politică, ca o caracteristică fundamentală de securitate și, prin urmare, este incredibil de rar să vezi o astfel de vulnerabilitate în sălbăticie.

Pentru mai multe informații despre modul în care funcționează SOP, poate doriți să vizionați videoclipul de mai sus. Acest lucru a fost realizat la un eveniment OWASP (Open Web App Security Project) din Germania și este una dintre cele mai bune explicații ale protocolului pe care l-am văzut până acum.

Când un browser este vulnerabil la un atac de ocolire a POS, există o mulțime de spații pentru daune. Un atacator ar putea face în mod fezabil orice, de la utilizarea API-ului de locație introdus cu specificația HTML5 pentru a afla unde se află o victimă, până la furtul cookie-urilor.

Din fericire, majoritatea dezvoltatorilor de browser iau în serios acest tip de atac. Ceea ce face să fie mai demn de observat un astfel de atac „în sălbăticie”.

Cum funcționează atacul

Deci, știm Aceeași origine a politicii este importantă. Știm că o eroare masivă a browser-ului de stocuri Android poate duce la atacarea atacatorilor la această măsură crucială de securitate? Dar cum funcționează?

Ei bine, dovada conceptului dat de Rafay Baloch arată cam așa:
[NU MAI ESTE DISPONIBIL]
Deci, ce avem aici? Ei bine, există un iFrame. Acesta este un element HTML care este utilizat pentru a permite site-urilor să încorporeze o altă pagină web într-o altă pagină web. Ei nu sunt obișnuiți atât cât au fost, în mare parte pentru că sunt un coșmar SEO 10 greșeli comune SEO care îți pot distruge site-ul [Partea I] Citeste mai mult . Cu toate acestea, le găsești adesea din când în când și încă sunt o parte din specificația HTML și nu au fost încă depășite.

În urma acestui lucru este un Reprezentând eticheta HTML un buton de introducere. Acesta conține unele JavaScript special concepute (observați că „ultramodul”?) Care, atunci când faceți clic, emite numele de domeniu al site-ului web curent. Cu toate acestea, din cauza unei erori în browserul Android, acesta ajunge să acceseze atributele iFrame și sfârșește prin tipărirea „rhaininfosec.com” ca o casetă de alertă JavaScript.

android-html-atac

Pe Google Chrome, Internet Explorer și Firefox, acest tip de atac ar fi pur și simplu eronat. De asemenea, (în funcție de browser), se produce un registru în consola JavaScript care informează că browserul a blocat atacul. Cu excepția, din anumite motive, browserul de stoc de pe dispozitivele pre-Android 4.4 nu face acest lucru.

android-html-consola

Tipărirea unui nume de domeniu nu este extrem de spectaculoasă. Cu toate acestea, obținerea accesului la cookie-uri și executarea JavaScript arbitrar pe un alt site web este destul de îngrijorătoare. Din fericire, se poate face ceva.

Ce se poate face?

Utilizatorii au câteva opțiuni aici. În primul rând, nu mai folosiți browserul de stocuri Android. Este veche, este nesigură și există pe piață acum mai multe opțiuni convingătoare. Google are a lansat Chrome pentru Android Google Chrome lansează în sfârșit pentru Android (doar pentru ICS) [Știri] Citeste mai mult (deși, numai pentru dispozitivele care folosesc Ice Cream Sandwich sau o versiune ulterioară) și există chiar și variante mobile de Firefox și Opera disponibile.

Firefox Mobile, în special, merită să fie atent. Pe lângă faptul că oferă o experiență de navigare uimitoare, vă permite, de asemenea, să rulați aplicații pentru propriul sistem de operare mobil Mozilla, sistemul de operare Firefox Top 15 aplicații pentru sistemul de operare Firefox: lista finală pentru utilizatorii noi de sistem de operare FirefoxDesigur, există o aplicație pentru asta: Este tehnologie web până la urmă. Sistemul de operare mobil Mozilla Firefox OS care, în loc de cod nativ, folosește HTML5, CSS3 și JavaScript pentru aplicațiile sale. Citeste mai mult , precum și instalați un o multitudine de suplimente minunate Cele mai bune 10 Firefox-uri pentru AndroidUnul dintre cele mai bune aspecte ale Firefox pe Android este suportul suplimentar. Consultați aceste suplimente esențiale Firefox pentru Android. Citeste mai mult .

Dacă doriți să fiți în mod special paranoic, există chiar și o portare a NoScript pentru Firefox Mobile. Deși, trebuie remarcat faptul că majoritatea site-urilor web depind în mare măsură de acestea JavaScript pentru a reda aspectele clientului Ce este JavaScript și cum funcționează? [Tehnologie explicată] Citeste mai mult și utilizarea NoScript va rupe aproape sigur majoritatea site-urilor web. Poate asta explică de ce James Bruce a descris-o ca parte a „trifecta răului AdBlock, NoScript & Ghostery - Trifecta răuluiÎn ultimele luni, am fost contactat de un număr mare de cititori care au avut probleme la descărcarea ghidurilor noastre sau de ce nu pot vedea butoanele de conectare sau comentariile care nu se încarcă; si in... Citeste mai mult ‘.

În cele din urmă, dacă este posibil, veți fi încurajat să actualizați browserul dvs. Android la cea mai recentă versiune, pe lângă instalarea celei mai recente versiuni a sistemului de operare Android. Acest lucru asigură că, în cazul în care Google eliberează o corecție pentru acest bug în continuare, este protejat.

Deși, merită să remarcăm asta există zvonuri conform cărora această problemă ar putea afecta utilizatorii Android 4.4 KitKat. Cu toate acestea, nu a apărut nimic suficient de substanțial pentru a sfătui cititorii să comute browsere.

O eroare majoră de confidențialitate

Nu faceți greșeală, acesta este un problema principală de securitate a smartphone-ului Ce trebuie să știți despre securitatea smartphone-urilor Citeste mai mult . Cu toate acestea, trecând la un browser diferit, devii practic invulnerabil. Cu toate acestea, rămân o serie de întrebări cu privire la securitatea generală a sistemului de operare Android.

Vei trece la ceva mai sigur, cum ar fi iOS super-sigur Securitatea smartphone-urilor: iPhone-urile pot primi programe malware?Programele malware care afectează „mii” de iPhone-uri pot fura acreditările din App Store, dar majoritatea utilizatorilor iOS sunt perfect în siguranță - deci care este problema cu iOS și software necinstit? Citeste mai mult sau (preferata mea) Blackberry 10 10 motive pentru a oferi BlackBerry 10 o încercare astăziBlackBerry 10 are câteva caracteristici destul de irezistibile. Iată zece motive pentru care s-ar putea să vrei să dai drumul. Citeste mai mult ? Sau poate veți rămâne loial cu Android și instalați un ROM sigur precum Android Paranoid sau Omirom 5 motive pentru care ar trebui să flash OmniROM pe dispozitivul dvs. AndroidCu o grămadă de opțiuni ROM personalizate acolo, poate fi greu să te bazezi pe doar una - dar ar trebui să iei în considerare cu adevărat OmniROM. Citeste mai mult ? Sau poate nu ești nici măcar îngrijorat.

Să vorbim despre asta. Caseta de comentarii este mai jos. Abia aștept să-ți aud gândurile.

Matthew Hughes este un dezvoltator de software și scriitor din Liverpool, Anglia. Foarte rar este găsit fără o ceașcă de cafea neagră puternică în mână și își adoră absolut Macbook Pro și camera foto. Îi poți citi blogul la http://www.matthewhughes.co.uk și urmăriți-l pe twitter la adresa @matthewhughes.