Reklama
Czy masz jeszcze aktualizację do Androida 4.4 KitKat? Oto coś, co może zachęcić Cię do zmiany: poważny problem z akcjami przeglądarka na telefonach wcześniejszych niż KitKat została wykryta i może umożliwić złośliwym stronom dostęp do danych innych osób strony internetowe. Brzmi przerażająco? Oto, co musisz wiedzieć
Problem - który był odkrył po raz pierwszy badacz Rafay Baloch - widzi złośliwe strony internetowe, które mogą wstrzykiwać dowolny kod JavaScript do innych ramek, w których mogą zostać skradzione pliki cookie lub struktura i znaczniki witryn internetowych są bezpośrednio zakłócane.
Rapid7 - twórcy popularnego środowiska do testowania bezpieczeństwa, Metasploit - rozpaczliwie martwią się tym badacze bezpieczeństwa opisując to jako „koszmar prywatności”. Ciekawy, jak to działa, dlaczego powinieneś się martwić i co możesz z tym zrobić? Czytaj dalej, aby uzyskać więcej.
Podstawowa zasada bezpieczeństwa: omijana
Podstawową zasadą, która powinna przede wszystkim zapobiegać atakowi, jest Polityka Same Origin. Krótko mówiąc, oznacza to, że JavaScript po stronie klienta działający w jednej witrynie nie powinien być w stanie zakłócać działania innej witryny.
Ta zasada stanowi podstawę bezpieczeństwa aplikacji internetowych, odkąd została wprowadzona w 1995 roku wraz z Netscape Navigator 2. Każda przeglądarka internetowa wdrożyła tę zasadę, jako podstawową funkcję bezpieczeństwa, w związku z czym niezwykle rzadko można spotkać taką lukę w środowisku naturalnym.
Aby uzyskać więcej informacji o tym, jak działa SPO, możesz obejrzeć powyższe wideo. Zostało to zrobione podczas wydarzenia OWASP (Open Web App Security Project) w Niemczech i jest jednym z najlepszych wyjaśnień protokołu, jaki do tej pory widziałem.
Gdy przeglądarka jest podatna na obejście SOP, jest dużo miejsca na uszkodzenia. Osoba atakująca może wykonać wszystko, od interfejsu API lokalizacji wprowadzonego wraz ze specyfikacją HTML5, aby dowiedzieć się, gdzie znajduje się ofiara, po kradzież plików cookie.
Na szczęście większość programistów przeglądarki poważnie podchodzi do tego rodzaju ataku. Co sprawia, że tym bardziej wart uwagi jest taki atak „na wolności”.
Jak działa atak
Więc wiemy Ważne jest samo pochodzenie. I wiemy, że poważne awarie zwykłej przeglądarki Androida mogą potencjalnie prowadzić do obejścia tego kluczowego środka bezpieczeństwa? Ale jak to działa?
Cóż, dowód koncepcji przedstawiony przez Rafaya Balocha wygląda trochę tak:
[NIE DOSTĘPNY]
Co my tu mamy? Cóż, jest iFrame. Jest to element HTML, który umożliwia stronom internetowym osadzanie innej strony na innej stronie. Nie są używane tak często, jak kiedyś, głównie dlatego, że tak koszmar SEO 10 typowych błędów SEO, które mogą zniszczyć Twoją witrynę [Część I] Czytaj więcej . Jednak często je od czasu do czasu odnajdujesz, a one nadal są częścią specyfikacji HTML i nie zostały jeszcze wycofane.
Po tym jest Znacznik HTML reprezentujący przycisk wprowadzania. Zawiera on specjalnie spreparowany kod JavaScript (zauważ, że końcowe „\ u0000”?), Który po kliknięciu wyświetla nazwę domeny bieżącej witryny. Jednak z powodu błędu w przeglądarce Androida uzyskuje dostęp do atrybutów iFrame i drukuje „rhaininfosec.com” jako ostrzeżenie JavaScript.
W Google Chrome, Internet Explorer i Firefox ten typ ataku po prostu by się pomylił. W zależności od przeglądarki wygeneruje również dziennik w konsoli JavaScript informujący, że przeglądarka zablokowała atak. Poza tym, z jakiegoś powodu, przeglądarka zapasowa na urządzeniach z Androidem 4.4 nie robi tego.
Wydruk nazwy domeny nie jest strasznie spektakularny. Jednak uzyskanie dostępu do plików cookie i wykonanie dowolnego kodu JavaScript na innej stronie jest dość niepokojące. Na szczęście jest coś, co można zrobić.
Co można zrobić?
Użytkownicy mają tutaj kilka opcji. Po pierwsze, przestań używać standardowej przeglądarki Androida. Jest stary, niepewny, a na rynku jest teraz o wiele więcej interesujących opcji. Google ma wydano Chrome na Androida Google Chrome wreszcie się uruchamia na Androida (tylko ICS) [Wiadomości] Czytaj więcej (chociaż tylko dla urządzeń z Ice Cream Sandwich i nowszymi), dostępne są nawet mobilne warianty Firefoksa i Opery.
Na szczególną uwagę zasługuje Firefox Mobile. Oprócz oferowania niesamowitych wrażeń podczas przeglądania, umożliwia także uruchamianie aplikacje na własny mobilny system operacyjny Mozilli, Firefox OS 15 najlepszych aplikacji Firefox OS: najlepsza lista dla nowych użytkowników Firefox OSOczywiście jest na to aplikacja: w końcu to technologia internetowa. Mobilny system operacyjny Mozilla Firefox OS, który zamiast kodu natywnego używa HTML5, CSS3 i JavaScript w swoich aplikacjach. Czytaj więcej , a także zainstaluj bogactwo niesamowitych dodatków 10 najlepszych dodatków do Firefoksa na AndroidaJednym z najlepszych aspektów Firefoksa na Androida jest obsługa dodatków. Sprawdź te niezbędne dodatki do Firefoksa dla Androida. Czytaj więcej .
Jeśli chcesz być szczególnie paranoikiem, jest nawet portowanie NoScript dla Firefox Mobile. Chociaż należy zauważyć, że większość stron internetowych jest silnie uzależniona JavaScript do renderowania uprzejmości po stronie klienta Co to jest JavaScript i jak to działa? [Technologia wyjaśniona] Czytaj więcej , a używanie NoScript prawie na pewno uszkodzi większość stron internetowych. To może wyjaśnia, dlaczego James Bruce opisał to jako część „trifecta zła AdBlock, NoScript i Ghostery - The Trifecta Of EvilW ciągu ostatnich kilku miesięcy skontaktowała się ze mną duża liczba czytelników, którzy mieli problemy z pobraniem naszych przewodników lub dlaczego nie widzą przycisków logowania lub komentarzy nie ładują się; i w... Czytaj więcej ‘.
Wreszcie, jeśli to możliwe, zachęcamy do zaktualizowania przeglądarki Androida do najnowszej wersji, oprócz zainstalowania najnowszej wersji systemu operacyjnego Android. To gwarantuje, że jeśli Google opublikuje poprawkę tego błędu w dalszej linii, jesteś chroniony.
Chociaż warto to zauważyć istnieją pogłoski, że ten problem może potencjalnie dotknąć użytkowników Androida 4.4 KitKat. Jednak nie pojawiło się nic, co byłoby na tyle istotne, aby doradzić czytelnikom, aby zmieniali przeglądarki.
Poważny błąd prywatności
Nie popełnij błędu, to jest główny problem bezpieczeństwa smartfona Co naprawdę musisz wiedzieć o bezpieczeństwie smartfona Czytaj więcej . Jednak po przejściu na inną przeglądarkę stajesz się praktycznie niewrażliwy. Pozostaje jednak wiele pytań dotyczących ogólnego bezpieczeństwa systemu operacyjnego Android.
Czy przełączysz się na coś bardziej bezpiecznego, na przykład super bezpieczny iOS Zabezpieczenia smartfona: czy iPhone może dostać złośliwe oprogramowanie?Złośliwe oprogramowanie, które wpływa na „tysiące” iPhone'ów, może wykraść dane logowania do App Store, ale większość użytkowników iOS jest całkowicie bezpieczna - więc o co chodzi z iOS i nieuczciwym oprogramowaniem? Czytaj więcej lub (mój ulubiony) Blackberry 10 10 powodów, aby dać BlackBerry 10 próbę już dziśBlackBerry 10 ma kilka nieodpartych funkcji. Oto dziesięć powodów, dla których warto spróbować. Czytaj więcej ? A może pozostaniesz lojalny wobec Androida i instalujesz bezpieczną pamięć ROM, taką jak Paranoid Android lub Omirom 5 powodów, dla których powinieneś Flash OmniROM na swoim urządzeniu z AndroidemMając do dyspozycji wiele niestandardowych opcji ROM, ustawienie jednego może być trudne - ale naprawdę powinieneś rozważyć OmniROM. Czytaj więcej ? A może nawet się tak nie martwisz.
Porozmawiajmy o tym. Pole komentarzy znajduje się poniżej. Nie mogę się doczekać, aby usłyszeć twoje myśli.
Matthew Hughes jest programistą i pisarzem z Liverpoolu w Anglii. Rzadko można go znaleźć bez filiżanki mocnej czarnej kawy w dłoni i absolutnie uwielbia swojego Macbooka Pro i aparat. Możesz przeczytać jego blog na http://www.matthewhughes.co.uk i śledź go na Twitterze na @matthewhughes.