Реклама

Вы еще не обновились до Android 4.4 KitKat? Вот кое-что, что может дать вам немного стимула для перехода: серьезная проблема с акцией Обнаружен браузер на телефонах до KitKat, и он может позволить вредоносным веб-сайтам получать доступ к данным других веб-сайты. Звучит страшно? Вот что вам нужно знать

Вопрос - который был впервые обнаружен исследователем Рафаем Белуджем - видит, что вредоносные веб-сайты могут вставлять произвольный JavaScript-код в другие фреймы, в которых могут быть украдены файлы cookie или непосредственно связаны структура и разметка веб-сайтов.

Исследователи безопасности отчаянно обеспокоены этим, так как Rapid7 - создатель популярной платформы тестирования безопасности Metasploit - описывая это как «кошмар частной жизни». Любопытно, как это работает, почему вы должны волноваться, и что вы можете с этим поделать? Читайте дальше.

Основной принцип безопасности: обойден

Основной принцип, который должен предотвратить эту атаку, называется Same Origin Policy. Короче говоря, это означает, что клиентский JavaScript, работающий на одном веб-сайте, не должен мешать другому веб-сайту.

instagram viewer

Эта политика была основой безопасности веб-приложений с тех пор, как она была впервые представлена ​​в 1995 году с Netscape Navigator 2. Каждый веб-браузер внедрил эту политику в качестве фундаментальной функции безопасности, и в результате невероятно редко можно увидеть такую ​​уязвимость в дикой природе.

Для получения дополнительной информации о том, как работает SOP, вы можете посмотреть вышеприведенное видео. Это было сделано на мероприятии OWASP (Open Web App Security Project) в Германии и является одним из лучших объяснений протокола, который я когда-либо видел.

Когда браузер уязвим к атаке обхода SOP, существует много места для повреждения. Злоумышленник может сделать все, что угодно: от использования API определения местоположения, представленного в спецификации HTML5, до выяснения, где находится жертва, до кражи файлов cookie.

К счастью, большинство разработчиков браузеров серьезно относятся к такого рода атакам. Что делает еще более примечательным видеть такую ​​атаку «в дикой природе».

Как работает атака

Итак, мы знаем Важна та же политика происхождения. И мы знаем, что серьезный сбой стандартного браузера Android потенциально может привести к тому, что злоумышленники обойдут эту важную меру безопасности? Но как это работает?

Ну, доказательство концепции, данное Рафаем Белуджем, выглядит примерно так:
[БОЛЬШЕ НЕДОСТУПНО]
Итак, что у нас здесь? Ну, есть iFrame. Это HTML-элемент, который позволяет веб-сайтам встраивать другую веб-страницу в другую веб-страницу. Они не используются так часто, как раньше, в основном потому, что они SEO кошмар 10 распространенных ошибок SEO, которые могут разрушить ваш сайт [Часть I] Прочитайте больше . Тем не менее, вы все еще часто находите их время от времени, и они все еще являются частью спецификации HTML и еще не устарели.

После этого HTML-тег, представляющий кнопка ввода. Он содержит какой-то специально созданный JavaScript (обратите внимание на конечный «\ u0000»?), Который при нажатии выводит доменное имя текущего веб-сайта. Однако из-за ошибки в браузере Android он завершает доступ к атрибутам iFrame и печатает «rhaininfosec.com» в виде окна предупреждения JavaScript.

андроид-HTML-атака

В Google Chrome, Internet Explorer и Firefox этот тип атаки просто завершится ошибкой. Он также (в зависимости от браузера) также создает журнал в консоли JavaScript, информирующий, что браузер заблокировал атаку. За исключением того, что по какой-то причине стандартный браузер на устройствах до Android 4.4 этого не делает.

Android-HTML-консоль

Распечатка доменного имени не очень впечатляет. Однако получение доступа к файлам cookie и выполнение произвольного JavaScript на другом веб-сайте вызывает беспокойство. К счастью, есть кое-что, что можно сделать.

Что может быть сделано?

У пользователей есть несколько вариантов здесь. Во-первых, прекратите использование стандартного браузера Android. Он старый, небезопасный, и сейчас на рынке есть гораздо более привлекательные варианты. Google имеет выпустила Chrome для Android Google Chrome наконец-то запускается для Android (только для ICS) [Новости] Прочитайте больше (хотя, только для устройств, работающих под управлением Ice Cream Sandwich и выше), и даже доступны мобильные версии Firefox и Opera.

В частности, стоит обратить внимание на Firefox Mobile. В дополнение к удивительному опыту просмотра, он также позволяет запускать приложения для собственной мобильной операционной системы Mozilla, Firefox OS Лучшие 15 приложений Firefox для ОС: окончательный список для новых пользователей Firefox OSКонечно, для этого есть приложение: в конце концов, это веб-технология. Мобильная операционная система Mozilla Firefox OS, которая вместо собственного кода использует HTML5, CSS3 и JavaScript для своих приложений. Прочитайте больше , а также установить множество удивительных дополнений 10 лучших дополнений Firefox для AndroidОдним из лучших аспектов Firefox на Android является его поддержка дополнений. Ознакомьтесь с этими необходимыми дополнениями Firefox для Android. Прочитайте больше .

Если вы хотите быть особенно параноиком, есть даже портирование NoScript для Firefox Mobile. Хотя следует отметить, что большинство сайтов сильно зависят от JavaScript для рендеринга на стороне клиента Что такое JavaScript и как он работает? [Технология объяснила] Прочитайте больше и использование NoScript почти наверняка сломает большинство веб-сайтов. Это, возможно, объясняет, почему Джеймс Брюс описал это как часть ‘trifecta зла AdBlock, NoScript и Ghostery - Trifecta of EvilЗа последние несколько месяцев со мной связалось большое количество читателей, у которых были проблемы с загрузкой наших руководств или почему они не могут видеть кнопки входа или комментарии, не загружаемые; И в... Прочитайте больше ‘.

Наконец, если возможно, рекомендуем обновить браузер Android до последней версии, в дополнение к установке последней версии операционной системы Android. Это гарантирует, что если Google выпустит исправление для этой ошибки в дальнейшем, вы защищены.

Хотя стоит отметить, что ходят слухи, что эта проблема может поразить пользователей Android 4.4 KitKat. Тем не менее, ничего не произошло, что было бы достаточно для меня, чтобы посоветовать читателям переключать браузеры.

Большая ошибка конфиденциальности

Не заблуждайтесь, это главная проблема безопасности смартфона Что вам действительно нужно знать о безопасности смартфона Прочитайте больше . Однако, переключаясь на другой браузер, вы становитесь практически неуязвимым. Тем не менее, остается ряд вопросов об общей безопасности операционной системы Android.

Будете ли вы переходить на что-то более безопасное, как супер-безопасный iOS Безопасность смартфона: могут ли айфоны получить вредоносное ПО?Вредоносные программы, затрагивающие «тысячи» айфонов, могут украсть учетные данные App Store, но большинство пользователей iOS абсолютно безопасны. Так в чем же дело с iOS и мошенническим ПО? Прочитайте больше или же (моя любимая) Blackberry 10 10 причин дать BlackBerry 10 A попробовать сегодняBlackBerry 10 обладает некоторыми довольно неотразимыми функциями. Вот десять причин, почему вы можете попробовать. Прочитайте больше ? Или, возможно, вы останетесь верны Android и будете устанавливать безопасное ПЗУ, такое как Paranoid Android или Omirom 5 причин, почему вы должны прошить OmniROM на ваше устройство AndroidИмея множество пользовательских опций ПЗУ, может быть сложно выбрать только одну, но вы действительно должны рассмотреть OmniROM. Прочитайте больше ? Или, может быть, вы даже не беспокоитесь.

Давайте поговорим об этом. Поле для комментариев ниже. Я не могу дождаться, чтобы услышать ваши мысли.

Мэтью Хьюз - разработчик программного обеспечения и писатель из Ливерпуля, Англия. Его редко можно найти без чашки крепкого черного кофе в руке, и он абсолютно обожает свой Macbook Pro и свою камеру. Вы можете прочитать его блог на http://www.matthewhughes.co.uk и следуйте за ним в твиттере на @matthewhughes.