Acest bug de browser Android vă va face upgrade la KitKat

Sunteți încă de upgrade la Android 4.4 KitKat? Iată ceva care vă poate oferi un pic de încurajare pentru a face schimbarea: a fost descoperită o problemă serioasă cu browserul de stocuri pe telefoanele pre-KitKat și ar putea permite site-urilor rău intenționate să acceseze datele altor site-uri web. Sună înfricoșător? Iată ce trebuie să știți

Problema - care a fost descoperită pentru prima oară de către cercetătorul Rafay Baloch - vede site-uri web rău intenționate în măsură să injecteze JavaScript arbitrar în alte cadre, care ar putea vedea furtul de cookie-uri sau structura și marcarea site-urilor care intervin în mod direct.

Cercetătorii în domeniul securității sunt îngrijorați cu disperare de acest lucru, iar Rapid7 - producătorii cadrului popular de testare a securității, Metasploit - îl descriu ca fiind un "coșmar de confidențialitate". Cunoscând cum funcționează, de ce ar trebui să vă faceți griji și ce puteți face în legătură cu aceasta? Citiți mai departe.

Un principiu de securitate de bază: Bypassed

Principiul de bază care ar trebui să prevină apariția acestui atac în primul rând este numit Politica de origine identică. Pe scurt, înseamnă că JavaScript de pe partea clientului care rulează într-un singur site web nu ar trebui să poată interfera cu alt site web.

Această politică a constituit temelia securității aplicațiilor web de când a fost introdusă pentru prima oară în 1995 cu Netscape Navigator 2. Fiecare browser web a implementat această politică, ca element fundamental de securitate, și, drept urmare, este extrem de rar să vezi o vulnerabilitate în sălbăticie.

Pentru mai multe informații despre cum funcționează SOP, vă recomandăm să vizionați videoclipul de mai sus. Aceasta a fost făcută la un eveniment OWASP (Open Web App Security Project) din Germania și este una dintre cele mai bune explicații ale protocolului pe care l-am văzut până acum.

Atunci când un browser este vulnerabil la un atac de by-pass SOP, există mult spațiu pentru deteriorare. Un atacator ar putea realiza cu ușurință orice, de la utilizarea API-ului de locație introdus cu spec. HTML5 pentru a afla unde este situată victima, până la furtul cookie-urilor.

Din fericire, majoritatea dezvoltatorilor de browser-uri iau acest tip de atac în serios. Ceea ce face cu atât mai important să vedem un astfel de atac "în sălbăticie".

Cum funcționează atacul

Deci, știm că aceeași Politică de Origine este importantă. Și știm că o eroare masivă a browserului de stoc Android poate duce la atacatori care eludă această măsură crucială de securitate? Dar cum funcționează?

Ei bine, dovada conceptului dat de Rafay Baloch arata cam asa:

 
Deci, ce avem aici? Ei bine, există un iFrame. Acesta este un element HTML care este folosit pentru a permite site-urilor web să încorporeze o altă pagină web într-o altă pagină web. Acestea nu sunt folosite la fel de mult ca acestea au fost, în mare parte pentru că sunt un coșmar SEO 10 comune greșeli SEO care pot distruge site-ul dvs. [partea I] 10 comune greșeli SEO care pot distruge site-ul dvs. [partea I] Citește mai mult. Cu toate acestea, le găsiți adesea de multe ori din când în când și ele încă fac parte din specificația HTML și nu au fost încă depreciate.
În continuare este o etichetă HTML reprezentând un buton de intrare. Aceasta conține câteva JavaScript special creat (observați că "\ u0000"?) Care, atunci când se face clic, scoate numele de domeniu al site-ului curent. Cu toate acestea, din cauza unei erori în browserul Android, se termină accesarea atributelor iFrame și sfârșesc printarea "rhaininfosec.com" ca casetă de alertă JavaScript.
În Google Chrome, Internet Explorer și Firefox, acest tip de atac ar duce pur și simplu la eroare. Ar fi (în funcție de browser) să producă, de asemenea, un jurnal în consola JavaScript, informând că browserul a blocat atacul. Cu toate acestea, din anumite motive, browser-ul de stocuri de pe dispozitivele pre-Android 4.4 nu face acest lucru.
Imprimarea unui nume de domeniu nu este teribil de spectaculoasă. Cu toate acestea, obținerea accesului la cookie-uri și executarea JavaScript arbitrar pe un alt site web este destul de îngrijorătoare. Din fericire, există ceva ce se poate face.
Ce se poate face?
Utilizatorii au câteva opțiuni aici. În primul rând, nu mai utilizați browserul de stoc Android. Este vechi, este nesigur și există opțiuni mult mai convingătoare pe piață chiar acum. Google a lansat Chrome pentru Android Google Chrome lansează în cele din urmă Android (numai ICS) [Știri] Google Chrome lansează în sfârșit pentru Android (numai pentru ICS) [Știri] Citește mai mult (deși numai pentru dispozitive care rulează Ice Cream Sandwich și sus) chiar și variantele mobile de Firefox și Opera disponibile.
În special, Firefox Mobile merită atenția acordată. În plus față de oferirea unei experiențe uimitoare de navigare, vă permite de asemenea să rulați aplicații pentru propriul sistem de operare mobil Mozilla, Firefox OS Top 15 Firefox OS Apps: Lista de Ultimate pentru utilizatorii noii Firefox OS Top 15 Aplicații Firefox OS: Lista Ultimată pentru Noi Utilizatorii Firefox OS Desigur, există o aplicație pentru asta: tehnologia web este la urma urmei. Sistemul de operare Mozilla pentru sistemul de operare Firefox, care, în loc de codul nativ, utilizează HTML5, CSS3 și JavaScript pentru aplicațiile sale. Citiți mai mult, precum și să instalați o mulțime de add-on-uri minunate Addons Unmissable pentru Firefox pe dispozitivul dvs. Android Unlockable Addons pentru Firefox pe dispozitivul dvs. Android Firefox pentru Android are un truc în mânecă: add-on-uri. La fel cum Firefox oferă un sistem de extensii mai puternic decât Chrome pe desktop, el bate Chrome pentru Android prin suportarea extensiilor. Puteți instala ... Citește mai mult  .
Dacă doriți să fiți în special paranoici, există chiar și un port de NoScript pentru Firefox Mobile. Deși, trebuie remarcat faptul că majoritatea site-urilor web depind în mare măsură de JavaScript pentru redarea detaliilor clientului. Ce este JavaScript și cum funcționează? [Tehnologie explicată] Ce este JavaScript și cum funcționează? [Tehnologie explicată] Citiți mai multe, iar utilizarea lui NoScript va rupe aproape sigur majoritatea site-urilor Web. Acest lucru poate explica de ce James Bruce la descris ca parte a "trifectului răului AdBlock, NoScript & Ghostery - Trifecta Evilului AdBlock, NoScript & Ghostery - Trifecta Răului În ultimele câteva luni, am fost contactat de un număr mare de cititori care au avut probleme la descărcarea ghidurilor noastre sau de ce nu văd butoanele de conectare sau comentariile care nu se încarcă; și în ... Citește mai mult '.
În cele din urmă, dacă este posibil, veți fi încurajați să vă actualizați browserul Android la cea mai recentă versiune, pe lângă instalarea celei mai recente versiuni a sistemului de operare Android. Acest lucru asigură că Google ar trebui să elibereze o soluție pentru această eroare în continuare pe linie, sunteți protejat.
Deși, este demn de remarcat faptul că există rușini că această problemă ar putea afecta utilizatorii de Android 4.4 KitKat. Cu toate acestea, nu a apărut nimic care să fie suficient de substanțial pentru a consilia cititorii să schimbe browserele.
Un bug major de confidențialitate
Nu faceți nici o greșeală, aceasta este o problemă importantă de securitate a smartphone-ului Ceea ce trebuie să știți cu adevărat despre securitatea smartphone Ce trebuie să știți cu adevărat despre securitatea smartphone Citiți mai multe. Cu toate acestea, prin trecerea la un alt browser, devii practic invulnerabil. Cu toate acestea, există o serie de întrebări cu privire la securitatea generală a sistemului de operare Android.
Voi treceți la ceva mai sigur, cum ar fi securitatea iOS Smartphone-urilor super-securizate: Pot iPhones Get Malware? Smartphone Security: Pot iPhones Get Malware? Malware care afectează "mii" de iPhone-uri poate fura acreditările App Store, dar majoritatea utilizatorilor iOS sunt perfect siguri - deci ce anume se ocupă cu iOS și software-ul necinstiți? Citește mai mult sau (meu preferat) BlackBerry 10 10 Motive pentru a da BlackBerry 10 A Încearcă astăzi 10 motive pentru a da BlackBerry 10 Încercați Azi BlackBerry 10 are unele caracteristici destul de irezistibil. Iată zece motive pentru care ați putea dori să vă dați o idee. Citeste mai mult  ? Sau poate veti ramane loial Android si instalati un ROM sigur cum ar fi Paranoid Android sau Omirom 5 motive pentru care ar trebui sa Flash OmniROM pentru dispozitivul Android 5 motive pentru care ar trebui sa Flash OmniROM pentru dispozitivul Android Cu o gramada de optiuni personalizate ROM acolo, poate fi dificil să se stabilească doar pe unul - dar ar trebui să luați în considerare OmniROM. Citeste mai mult  ? Sau poate că nici nu sunteți îngrijorat.
Să vorbim despre asta. Caseta de comentarii este de mai jos. Nu pot să aștept să vă aud gândurile.
 
Explorați mai multe despre: Securitate Smartphone.