Эта ошибка браузера Android заставит вас перейти на KitKat

  • Edmund Richardson
  • 0
  • 4504
  • 996
Реклама

Вы еще не обновились до Android 4.4 KitKat? Вот кое-что, что может дать вам немного стимула для перехода: обнаружена серьезная проблема со стандартным браузером на телефонах до KitKat, и это может позволить вредоносным веб-сайтам получить доступ к данным других веб-сайтов. Звучит страшно? Вот что тебе нужно знать

Эта проблема, которая была впервые обнаружена исследователем Рафаем Белуджем, заключается в том, что вредоносные веб-сайты могут вставлять произвольный JavaScript-код в другие фреймы, в которых могут быть украдены файлы cookie или что структура и разметка веб-сайтов напрямую влияют на.

Исследователи безопасности отчаянно обеспокоены этим, так как Rapid7 - создатель популярной платформы тестирования безопасности Metasploit - назвал ее «кошмаром конфиденциальности». Вам интересно, как это работает, почему вы должны волноваться, и что вы можете с этим поделать? Продолжайте читать для больше.

Основной принцип безопасности: обойден

Основной принцип, который должен предотвратить эту атаку, называется Same Origin Policy. Короче говоря, это означает, что клиентский JavaScript, работающий на одном веб-сайте, не должен мешать другому веб-сайту..

Эта политика была основой безопасности веб-приложений с тех пор, как она была впервые представлена ​​в 1995 году с помощью Netscape Navigator 2. Каждый веб-браузер внедрил эту политику в качестве фундаментальной функции безопасности, и в результате ее невероятно редко можно увидеть. уязвимость в дикой природе.

Для получения дополнительной информации о том, как работает SOP, вы можете посмотреть вышеприведенное видео. Это было сделано на мероприятии OWASP (Open Web App Security Project) в Германии и является одним из лучших объяснений протокола, который я видел до сих пор..

Когда браузер уязвим к атаке обхода SOP, существует много места для повреждения. Злоумышленник может сделать все, что угодно: от использования API определения местоположения, представленного в спецификации HTML5, до определения местонахождения жертвы, до кражи файлов cookie..

К счастью, большинство разработчиков браузеров серьезно относятся к такого рода атакам. Что делает еще более примечательным видеть такую ​​атаку «в дикой природе».

Как работает Атака

Итак, мы знаем, что политика одинакового происхождения важна. И мы знаем, что серьезный сбой стандартного браузера Android может привести к тому, что злоумышленники обойдут эту важную меру безопасности? Но как это работает?

Ну, доказательство концепции, данное Рафаем Белуджем, выглядит примерно так:

 

Итак, что у нас здесь? Ну, есть кадр. Это HTML-элемент, который позволяет веб-сайтам встраивать другую веб-страницу в другую веб-страницу. Они не используются так часто, как раньше, в основном потому, что они являются кошмаром SEO. 10 распространенных ошибок SEO, которые могут разрушить ваш сайт [Часть I] 10 распространенных ошибок SEO, которые могут разрушить ваш сайт [часть I]. Тем не менее, вы все еще часто находите их время от времени, и они все еще являются частью спецификации HTML и еще не устарели..

Далее следует HTML-тег, представляющий кнопку ввода. Он содержит некоторый специально созданный JavaScript (обратите внимание на конечный '\ u0000'?), Который при нажатии выводит доменное имя текущего веб-сайта. Однако из-за ошибки в браузере Android он завершает доступ к атрибутам iFrame и печатает «rhaininfosec.com» в виде окна предупреждения JavaScript.

В Google Chrome, Internet Explorer и Firefox этот тип атаки просто завершится ошибкой. Он также (в зависимости от браузера) также создает журнал в консоли JavaScript, информирующий, что браузер заблокировал атаку. За исключением того, что по какой-то причине стандартный браузер на устройствах до Android 4.4 не делает этого.

Распечатка доменного имени не очень впечатляет. Однако получение доступа к файлам cookie и выполнение произвольного JavaScript на другом веб-сайте вызывает беспокойство. К счастью, есть кое-что, что можно сделать.

Что можно сделать?

У пользователей есть несколько вариантов здесь. Во-первых, прекратите использование стандартного браузера Android. Он старый, небезопасный, и сейчас на рынке гораздо более привлекательные варианты. Google выпустил Chrome для Android Google Chrome, наконец, запускает для Android (только для ICS) [Новости] Google Chrome, наконец, запускает для Android (только для ICS) [Новости] (хотя, только для устройств, работающих под управлением Ice Cream Sandwich и выше), и даже есть мобильные доступны варианты Firefox и Opera.

На Firefox Mobile в частности стоит обратить внимание. В дополнение к потрясающему опыту просмотра, он также позволяет запускать приложения для собственной мобильной операционной системы Mozilla, Firefox OS. Топ 15 приложений для Firefox: окончательный список для новых пользователей Firefox OS Топ 15 приложений для Firefox: окончательный список для новых Пользователи Firefox OS Конечно, есть приложение для этого: в конце концов, это веб-технология. Мобильная операционная система Mozilla Firefox OS, которая вместо собственного кода использует HTML5, CSS3 и JavaScript для своих приложений. , а также установить множество замечательных надстроек Unmissable Addons For Firefox на вашем Android-устройстве Unmissable Addons For Firefox на вашем Android-устройстве У Firefox для Android есть хитрость: дополнения. Так же, как Firefox предлагает более мощную систему расширений, чем Chrome для настольных компьютеров, он превосходит Chrome для Android, поддерживая расширения. Вы можете установить ... .

Если вы хотите быть особенно параноиком, есть даже портирование NoScript для Firefox Mobile. Тем не менее, следует отметить, что большинство веб-сайтов в значительной степени зависят от JavaScript для создания тонкостей на стороне клиента. Что такое JavaScript и как он работает? [Объяснение технологии] Что такое JavaScript и как он работает? [Технология объяснена], и использование NoScript почти наверняка сломает большинство веб-сайтов. Это, возможно, объясняет, почему Джеймс Брюс описал это как часть "trifecta зла" AdBlock, NoScript & Ghostery - Trifecta Of Evil AdBlock, NoScript & Ghostery - Trifecta Of Evil За последние несколько месяцев со мной связались большое количество читателей, у которых были проблемы с загрузкой наших руководств или почему они не видят кнопки входа или комментарии не загружаются; И в… '.

Наконец, если возможно, вам будет предложено обновить браузер Android до последней версии, в дополнение к установке последней версии операционной системы Android. Это гарантирует, что если Google выпустит исправление для этой ошибки в дальнейшем, вы защищены.

Хотя стоит отметить, что существуют слухи, что эта проблема может поразить пользователей Android 4.4 KitKat. Тем не менее, ничего не вышло, что было бы достаточно для меня, чтобы посоветовать читателям переключать браузеры..

Большая ошибка конфиденциальности

Не заблуждайтесь, это серьезная проблема безопасности смартфона. Что вам действительно нужно знать о безопасности смартфона Что вам действительно нужно знать о безопасности смартфона. Однако, переключаясь на другой браузер, вы становитесь практически неуязвимым. Тем не менее, остается ряд вопросов об общей безопасности операционной системы Android.

Будете ли вы переключаться на что-то более безопасное, например, на сверхзащищенную iOS Smartphone Security: могут ли айфоны получить вредоносное ПО? Безопасность смартфона: могут ли айфоны получить вредоносное ПО? Вредоносные программы, затрагивающие «тысячи» айфонов, могут украсть учетные данные App Store, но большинство пользователей iOS абсолютно безопасны. Так в чем же дело с iOS и мошенническим программным обеспечением? или (мой любимый) Blackberry 10 10 причин дать BlackBerry 10 попробовать сегодня 10 причин дать BlackBerry 10 попробовать сегодня BlackBerry 10 обладает некоторыми довольно неотразимыми функциями. Вот десять причин, почему вы можете попробовать. ? Или, возможно, вы останетесь лояльным к Android и установите безопасное ПЗУ, такое как Paranoid Android или Omirom 5 причин, по которым вам нужно прошить OmniROM на свое устройство Android 5 причин, по которым вам следует прошить OmniROM на свое устройство Android С помощью множества пользовательских опций ПЗУ там может быть трудно остановиться только на одном - но вы действительно должны рассмотреть OmniROM. ? Или, может быть, вы даже не беспокоитесь.

Давайте поговорим об этом. Поле для комментариев ниже. Я не могу ждать, чтобы услышать ваши мысли.




О современных технологиях, просто и доступно.
Ваш гид в мире современных технологий. Узнайте как использовать технологии и гаджеты, которые нас окружают каждый день и научитесь открывать интересные вещи в Интернете.