reklama

Jste ještě na upgrade na Android 4.4 KitKat? Tady je něco, co by vám mohlo trochu povzbudit, abyste udělali změnu: vážný problém s akciemi prohlížeč na telefonech před KitKat byl objeven a mohl by umožnit škodlivým webům přístup k datům jiných webové stránky. Zní to děsivě? Zde je to, co potřebujete vědět

Problém - který byl poprvé objevil výzkumník Rafay Baloch - vidí škodlivé weby, které jsou schopny vložit libovolný JavaScript do jiných rámců, což by mohlo vést k odcizení souborů cookie nebo ke struktuře a značení webových stránek, které jsou přímo narušeny.

Bezpečnostní vědci se tím zoufale obávají, s Rapid7 - tvůrci populárního rámce pro testování bezpečnosti, Metasploit - popisující to jako „noční můru v soukromí“. Zajímá vás, jak to funguje, proč byste se měli bát a co s tím můžete dělat? Čtěte dál.

Základní bezpečnostní princip: Bypassed

Základní princip, který by měl tomuto útoku zabránit, se v první řadě nazývá politika stejného původu. Zkrátka to znamená, že JavaScript na straně klienta spuštěný na jednom webu by neměl být schopen zasahovat do jiného webu.

instagram viewer

Tato politika je základem zabezpečení webových aplikací, a to od doby, kdy byla poprvé představena v roce 1995 s Netscape Navigator 2. Každý webový prohlížeč implementoval tuto zásadu jako základní bezpečnostní prvek a v důsledku toho je neuvěřitelně vzácné vidět takovou zranitelnost ve volné přírodě.

Pro více informací o tom, jak funguje SOP, se můžete podívat na výše uvedené video. Toto bylo přijato na události OWASP (Open Web App Security Project) v Německu a je to jedno z nejlepších vysvětlení protokolu, který jsem dosud viděl.

Pokud je prohlížeč zranitelný útokem obtoku SOP, je zde prostor pro poškození. Útočník by mohl provést cokoli, od použití lokalizačního rozhraní API zavedeného se specifikací HTML5, aby zjistil, kde se nachází oběť, až po krádež cookies.

Naštěstí většina vývojářů prohlížeče bere tento druh útoku vážně. Což je o to pozoruhodnější vidět takový útok „ve volné přírodě“.

Jak útok funguje

Takže to víme Stejný původ je důležitý. A víme, že masivní selhání akciového prohlížeče Android může potenciálně vést k tomu, že útočníci obejdou toto zásadní bezpečnostní opatření? Ale jak to funguje?

Doklad o konceptu, který dal Rafay Baloch, vypadá trochu takto:
[JIŽ NENÍ K DISPOZICI]
Co tady tedy máme? Je tu iFrame. Jedná se o prvek HTML, který se používá k tomu, aby webovým serverům umožnil vložit jinou webovou stránku na jinou webovou stránku. Nejsou zvyklí tak často jako dříve, hlavně proto, že jsou noční můra SEO 10 běžných chyb SEO, které mohou zničit váš web [část I] Přečtěte si více . Stále je však často občas najdete a jsou stále součástí specifikace HTML a dosud nebyly zastaralé.

Následující je a Reprezentace značky HTML vstupní tlačítko. To obsahuje nějaký speciálně vytvořený JavaScript (všimněte si koncové „u0000“?), Které po kliknutí vydá název domény aktuálního webu. Kvůli chybě v prohlížeči Android však končí přístupem k atributům iFrame a končí tiskem „rhaininfosec.com“ jako výstražného pole JavaScriptu.

android-html-útok

V prohlížečích Google Chrome, Internet Explorer a Firefox by se tento typ útoku jednoduše vyskytl. V závislosti na prohlížeči by také vytvořil protokol v konzole JavaScriptu, který informuje, že prohlížeč útok zablokoval. S výjimkou, z nějakého důvodu, prohlížeč akcií na zařízeních starších než 4.4 to nedělá.

android-html-konzole

Tisk názvu domény není strašně velkolepý. Získání přístupu k souborům cookie a spuštění libovolného JavaScriptu na jiném webu je však docela znepokojivé. Naštěstí je tu něco, co lze udělat.

Co lze udělat?

Uživatelé zde mají několik možností. Nejprve přestaňte používat běžný prohlížeč Android. Je stará, je nejistá a na trhu teď existuje mnohem více přesvědčivých možností. Google má vydal Chrome pro Android Google Chrome konečně uvádí na trh pro Android (pouze ICS) [Novinky] Přečtěte si více (i když pouze pro zařízení se systémem Ice Cream Sandwich a vyšší) a jsou k dispozici i mobilní varianty Firefoxu a Opera.

Zejména Firefox Mobile stojí za pozornost. Kromě toho nabízí úžasný zážitek z prohlížení, ale také vám umožní běžet aplikace pro vlastní mobilní operační systém Mozilly, Firefox OS Top 15 aplikací Firefox OS: The Ultimate List pro nové uživatele Firefox OSSamozřejmě existuje aplikace: Konec konců je to webová technologie. Mobilní operační systém Mozilla Firefox OS, který místo nativního kódu používá pro své aplikace HTML5, CSS3 a JavaScript. Přečtěte si více , a také nainstalujte spousta úžasných doplňků 10 nejlepších doplňků Firefoxu pro AndroidJedním z nejlepších aspektů Firefoxu v Androidu je jeho doplňková podpora. Podívejte se na tyto základní doplňky Firefoxu pro Android. Přečtěte si více .

Pokud chcete být obzvláště paranoidní, existuje dokonce i port NoScript pro Firefox Mobile. Je však třeba poznamenat, že většina webových stránek je silně závislá JavaScript pro vykreslování věcí na straně klienta Co je to JavaScript a jak to funguje? [Vysvětlená technologie] Přečtěte si více , a používání NoScript téměř jistě rozbije většinu webových stránek. To snad vysvětluje, proč to popsal James Bruce jako součást ‘trifecta zla AdBlock, NoScript a Ghostery - Trifecta Of EvilBěhem několika posledních měsíců mě kontaktovalo velké množství čtenářů, kteří měli problémy se stahováním našich průvodců, nebo proč nevidí přihlašovací tlačítka nebo komentáře, které se nenačítají; a v ... Přečtěte si více ‘.

Pokud je to možné, měli byste kromě instalace nejnovější verze operačního systému Android také vyzkoušet aktualizaci prohlížeče Android na nejnovější verzi. Tím zajistíte, že pokud Google uvolní opravu této chyby dále po řádku, jste chráněni.

I když to stojí za zmínku existují problémy, které by tento problém mohl potenciálně zasáhnout uživatele Android 4.4 KitKat. Nezjevilo se však nic, co by pro mě bylo dostatečně důležité, abych čtenářům doporučil přepnout prohlížeče.

Hlavní chyba v ochraně osobních údajů

Nedělejte chybu, je to hlavní problém zabezpečení smartphonu Co skutečně potřebujete vědět o zabezpečení smartphonu Přečtěte si více . Přepnutím do jiného prohlížeče se však stáváte prakticky nezranitelnými. Zůstává však řada otázek týkajících se celkové bezpečnosti operačního systému Android.

Přejdete na něco bezpečnějšího super-bezpečný iOS Zabezpečení smartphonu: Mohou iPhony získat malware?Malware, který ovlivňuje „tisíce“ telefonů iPhone, může ukrást pověření obchodu App Store, ale většina uživatelů iOS je dokonale bezpečná - co tedy řeší iOS a nepoctivý software? Přečtěte si více nebo (můj oblíbený) Blackberry 10 10 důvodů proč dát BlackBerry 10 zkuste ještě dnesBlackBerry 10 má některé docela neodolatelné funkce. Zde je deset důvodů, proč byste to měli chtít zkusit. Přečtěte si více ? Nebo možná zůstanete věrní Androidu a instalujete zabezpečenou ROM jako Paranoid Android nebo Omirom 5 důvodů, proč byste měli Flash OmniROM do svého zařízení AndroidDíky spoustě vlastních možností paměti ROM může být obtížné se vyrovnat pouze s jednou - ale měli byste opravdu zvážit OmniROM. Přečtěte si více ? Nebo si snad ani nemusíš dělat starosti.

Pojďme si o tom povídat. Okno s poznámkami je níže. Nemůžu se dočkat, až uslyším vaše myšlenky.

Matthew Hughes je vývojář a spisovatel softwaru z anglického Liverpoolu. Málokdy je nalezen bez šálku silné černé kávy v ruce a absolutně zbožňuje svůj Macbook Pro a fotoaparát. Jeho blog si můžete přečíst na adrese http://www.matthewhughes.co.uk a následujte ho na twitteru na @ matthewhughes.