Edmund Richardson
0 
2858
146
Czy masz jeszcze aktualizację do Androida 4.4 KitKat? Oto coś, co może zachęcić cię do zmiany: wykryto poważny problem z przeglądarką podstawową na telefonach sprzed KitKat i może umożliwić złośliwym stronom dostęp do danych innych stron. Brzmi przerażająco? Oto, co musisz wiedzieć
Problem - który odkrył po raz pierwszy badacz Rafay Baloch - polega na tym, że złośliwe strony internetowe mogą wstrzykiwać dowolny kod JavaScript do innych ramek, w których można zobaczyć skradzione pliki cookie lub strukturę i znaczniki witryn bezpośrednio.
Badacze bezpieczeństwa desperacko się tym martwią, ponieważ Rapid7 - twórca popularnego środowiska do testowania bezpieczeństwa, Metasploit - opisuje to jako „koszmar prywatności”. Ciekawi Cię, jak to działa, dlaczego powinieneś się martwić i co możesz z tym zrobić? Czytaj dalej, aby uzyskać więcej.
Podstawowa zasada bezpieczeństwa: omijana
Podstawową zasadą, która powinna przede wszystkim zapobiegać atakowi, jest Polityka Same Origin. Krótko mówiąc, oznacza to, że JavaScript po stronie klienta działający w jednej witrynie nie powinien być w stanie zakłócać działania innej witryny.
Ta zasada stanowi podstawę bezpieczeństwa aplikacji internetowych, odkąd została wprowadzona w 1995 r. Wraz z Netscape Navigator 2. Każda przeglądarka internetowa wdrożyła tę zasadę jako podstawową funkcję bezpieczeństwa, w związku z czym niezwykle rzadko można ją zobaczyć podatność na zagrożenia.
Aby uzyskać więcej informacji o tym, jak działa SPO, możesz obejrzeć powyższe wideo. Zostało to zrobione podczas wydarzenia OWASP (Open Web App Security Project) w Niemczech i jest jednym z najlepszych wyjaśnień protokołu, jaki do tej pory widziałem.
Gdy przeglądarka jest podatna na obejście SOP, jest dużo miejsca na uszkodzenia. Osoba atakująca może wykonać wszystko, od interfejsu API lokalizacji wprowadzonego wraz ze specyfikacją HTML5, aby dowiedzieć się, gdzie znajduje się ofiara, po kradzież plików cookie.
Na szczęście większość programistów przeglądarki poważnie podchodzi do tego rodzaju ataków. Co czyni tym bardziej godnym uwagi widok takiego ataku „na wolności”.
Jak działa atak
Tak więc wiemy, że Same Origin Polity jest ważne. I wiemy, że poważne awarie zwykłej przeglądarki Androida mogą potencjalnie prowadzić do obejścia tego kluczowego środka bezpieczeństwa? Ale jak to działa?
Cóż, dowód koncepcji przedstawiony przez Rafaya Balocha wygląda trochę tak:
Co my tu mamy? Cóż, jest iFrame. Jest to element HTML, który umożliwia witrynom osadzanie innej strony w obrębie innej strony. Nie są one używane tak często, jak kiedyś, głównie dlatego, że są koszmarem SEO. 10 typowych błędów SEO, które mogą zniszczyć Twoją witrynę [część I] 10 typowych błędów SEO, które mogą zniszczyć Twoją witrynę [część I]. Jednak wciąż często je od czasu do czasu odnajdujesz i są one nadal częścią specyfikacji HTML i nie zostały jeszcze wycofane.
Poniżej znajduje się tag HTML reprezentujący przycisk wprowadzania. Zawiera on specjalnie spreparowany kod JavaScript (zauważ, że końcowe „\ u0000”?), Który po kliknięciu wyświetla nazwę domeny bieżącej witryny. Jednak z powodu błędu w przeglądarce Androida uzyskuje dostęp do atrybutów iFrame i drukuje „rhaininfosec.com” jako ostrzeżenie JavaScript.
W Google Chrome, Internet Explorer i Firefox ten typ ataku po prostu by się pomylił. W zależności od przeglądarki wygeneruje także dziennik w konsoli JavaScript informujący, że przeglądarka zablokowała atak. Poza tym, z jakiegoś powodu, przeglądarka zapasowa na urządzeniach z Androidem 4.4 nie robi tego.
Wydruk nazwy domeny nie jest strasznie spektakularny. Jednak uzyskanie dostępu do plików cookie i wykonanie dowolnego kodu JavaScript na innej stronie jest dość niepokojące. Na szczęście można coś zrobić.
Co można zrobić?
Użytkownicy mają tutaj kilka opcji. Po pierwsze, przestań używać standardowej przeglądarki Androida. Jest stary, niepewny i na rynku jest teraz o wiele bardziej atrakcyjne opcje. Google wypuścił Chrome na Androida Google Chrome wreszcie uruchamia się na Androida (tylko ICS) [Aktualności] Google Chrome wreszcie uruchamia się na Androida (tylko ICS) [Wiadomości] (chociaż tylko dla urządzeń z Ice Cream Sandwich i nowszych), a nawet na urządzeniach mobilnych dostępne warianty Firefox i Opera.
Na szczególną uwagę zasługuje Firefox Mobile. Oprócz niesamowitego przeglądania, pozwala także uruchamiać aplikacje na własny mobilny system operacyjny Mozilli, Firefox OS Top 15 Aplikacje Firefox OS: Najlepsza lista dla nowych użytkowników Firefox OS Top 15 Aplikacje Firefox OS: Najlepsza lista dla nowych Użytkownicy Firefox OS Oczywiście jest na to aplikacja: w końcu to technologia internetowa. Mobilny system operacyjny Mozilla Firefox OS, który zamiast kodu natywnego używa HTML5, CSS3 i JavaScript w swoich aplikacjach. , a także zainstalować wiele niesamowitych dodatków Nieodłączalnych dodatków do Firefoksa na urządzeniu z Androidem Nieodłączalnych dodatków do Firefoksa na urządzeniu z Androidem Firefox na Androida ma swoją sztuczkę: dodatki. Podobnie jak Firefox oferuje silniejszy system rozszerzeń niż Chrome na komputerze, tak samo jak Chrome na Androida, obsługując rozszerzenia. Możesz zainstalować… .
Jeśli chcesz być szczególnie paranoikiem, istnieje nawet portowanie NoScript dla Firefox Mobile. Chociaż należy zauważyć, że większość stron internetowych jest silnie zależna od JavaScript do renderowania po stronie klienta Co to jest JavaScript i jak to działa? [Objaśnienie technologii] Co to jest JavaScript i jak to działa? [Objaśnienie technologii] i użycie NoScript prawie na pewno uszkodzi większość stron internetowych. Być może to wyjaśnia, dlaczego James Bruce opisał to jako część „trifecta zła AdBlock, NoScript & Ghostery - The Trifecta Of AdBlock, NoScript & Ghostery - The Trifecta Of Evil W ciągu ostatnich kilku miesięcy skontaktowałem się z spora liczba czytelników, którzy mieli problemy z pobraniem naszych przewodników lub dlaczego nie widzą przycisków logowania lub komentarzy nie ładują się; i w… '.
Wreszcie, jeśli to możliwe, zachęcamy do zaktualizowania przeglądarki Androida do najnowszej wersji, oprócz zainstalowania najnowszej wersji systemu operacyjnego Android. To gwarantuje, że jeśli Google opublikuje poprawkę tego błędu w dalszej linii, jesteś chroniony.
Chociaż warto zauważyć, że istnieją pogłoski, że ten problem może potencjalnie dotknąć użytkowników Androida 4.4 KitKat. Jednak nie pojawiło się nic, co byłoby na tyle istotne, aby doradzić czytelnikom, aby zmieniali przeglądarki.
Poważny błąd prywatności
Nie popełnij błędu, jest to poważny problem z bezpieczeństwem smartfona Co naprawdę musisz wiedzieć o bezpieczeństwie smartfona Co naprawdę musisz wiedzieć o bezpieczeństwie smartfona. Jednak po przejściu na inną przeglądarkę stajesz się praktycznie niewrażliwy. Pozostaje jednak wiele pytań dotyczących ogólnego bezpieczeństwa systemu operacyjnego Android.
Czy przełączysz się na coś nieco bezpieczniejszego, na przykład superbezpieczne Zabezpieczenia smartfonów z iOS: czy iPhone może dostać złośliwe oprogramowanie? Zabezpieczenia smartfonów: czy iPhone'y mogą dostać złośliwe oprogramowanie? Złośliwe oprogramowanie, które wpływa na „tysiące” iPhone'ów, może wykraść dane logowania do App Store, ale większość użytkowników iOS jest całkowicie bezpieczna - więc co to za sprawa z iOS i nieuczciwym oprogramowaniem? lub (moja ulubiona) Blackberry 10 10 powodów, aby dać BlackBerry 10 wypróbować dziś 10 powodów, aby dać BlackBerry 10 wypróbować dziś BlackBerry 10 ma kilka nieodpartych funkcji. Oto dziesięć powodów, dla których warto spróbować. ? A może pozostaniesz lojalny wobec Androida i instalujesz bezpieczną pamięć ROM, taką jak Paranoid Android lub Omirom 5 powodów, dla których powinieneś Flash OmniROM na swoim urządzeniu z Androidem 5 powodów, dla których powinieneś Flash OmniROM na swoim urządzeniu z Androidem Z kilkoma niestandardowymi opcjami ROM tam może być trudno ustalić tylko jedną - ale naprawdę powinieneś rozważyć OmniROM. ? A może nawet się tak nie martwisz.
Porozmawiajmy o tym. Pole komentarzy znajduje się poniżej. Nie mogę się doczekać, aby usłyszeć twoje myśli.
