Joseph Goodman
0 
1499
273
Jste ještě na upgrade na Android 4.4 KitKat? Zde je něco, co by vám mohlo trochu povzbudit, aby se přepínač: vážný problém s prohlížečem akcií na telefonech před KitKat byl objeven, a to by mohlo škodlivým webům umožnit přístup k datům jiných webů. Zní to děsivě? Zde je to, co potřebujete vědět
Tento problém, který byl poprvé objeven výzkumníkem Rafayem Balochem, spočívá v tom, že škodlivé weby mohou vložit libovolný JavaScript do jiných rámců, které by mohly vidět ukradené soubory cookie nebo strukturu a označení webových stránek, které jsou přímo narušeny.
Výzkumníci v oblasti bezpečnosti se tím zoufale obávají, protože Rapid7 - tvůrci populárního rámce pro testování zabezpečení Metasploit - jej popisuje jako „noční můru v soukromí“. Zajímá vás, jak to funguje, proč byste se měli bát a co s tím můžete dělat? Čtěte dál.
Základní bezpečnostní princip: Bypassed
Základní princip, který by měl tomuto útoku zabránit, se v první řadě nazývá politika stejného původu. Zkrátka to znamená, že JavaScript na straně klienta spuštěný na jednom webu by neměl být schopen zasahovat do jiného webu.
Tato zásada je základem zabezpečení webových aplikací, a to od doby, kdy byla poprvé zavedena v roce 1995 s Netscape Navigator 2. Každý webový prohlížeč implementoval tuto zásadu jako základní bezpečnostní prvek, a proto je neuvěřitelně vzácné vidět takovou zranitelnost ve volné přírodě.
Pro více informací o tom, jak funguje SOP, se můžete podívat na výše uvedené video. Toto bylo přijato na události OWASP (Open Web App Security Project) v Německu a je to jedno z nejlepších vysvětlení protokolu, který jsem dosud viděl.
Pokud je prohlížeč zranitelný útokem obtoku SOP, je zde mnoho prostoru pro poškození. Útočník by mohl provést cokoli, od použití lokalizačního rozhraní API představeného se specifikací HTML5, aby zjistil, kde se nachází oběť, až po krádež cookies..
Naštěstí většina vývojářů prohlížeče bere tento druh útoku vážně. Což dělá to ještě pozoruhodnější vidět takový útok „ve volné přírodě“.
Jak útok funguje
Takže víme, že stejný původ je důležitý. A víme, že masivní selhání akciového prohlížeče Android může potenciálně vést k tomu, že útočníci obejdou toto zásadní bezpečnostní opatření? Ale jak to funguje?
Doklad o konceptu, který dal Rafay Baloch, vypadá trochu takto:
Co tedy tady máme? No, existuje iFrame. Jedná se o prvek HTML, který se používá k tomu, aby webovým serverům umožnil vložit jinou webovou stránku na jinou webovou stránku. Nejsou zvyklí tak, jak bývali, hlavně proto, že se jedná o noční můru SEO. 10 Častých chyb SEO, které mohou zničit váš web [Část I] 10 Častých chyb SEO, které mohou zničit váš web [Část I]. Stále je však často občas najdete a jsou stále součástí specifikace HTML a dosud nebyly zastaralé..
Následuje značka HTML představující vstupní tlačítko. Toto obsahuje nějaký speciálně vytvořený JavaScript (všimněte si, že koncové '\ u0000'?), Které po kliknutí vydá název domény aktuálního webu. Kvůli chybě v prohlížeči Android však končí přístupem k atributům iFrame a končí tiskem „rhaininfosec.com“ jako výstražného políčka JavaScriptu.
V prohlížečích Google Chrome, Internet Explorer a Firefox by se tento typ útoku jednoduše vyskytl. V závislosti na prohlížeči by také vytvořil protokol v konzole JavaScriptu, který informuje, že prohlížeč útok zablokoval. S výjimkou, z nějakého důvodu, prohlížeč akcií na zařízeních starších než Android 4.4 to nedělá.
Tisk názvu domény není strašně velkolepý. Získání přístupu k souborům cookie a spuštění libovolného JavaScriptu na jiném webu je však docela znepokojivé. Naštěstí je tu něco, co lze udělat.
Co se dá udělat?
Uživatelé zde mají několik možností. Nejprve přestaňte používat běžný prohlížeč Android. Je stará, nejistá a na trhu je nyní mnohem více přesvědčivých možností. Google vydal Chrome pro Android Google Chrome konečně uvádí na trh pro Android (pouze ICS) [Zprávy] Google Chrome konečně uvádí na trh pro Android (pouze ICS) [Zprávy] (ačkoli, pouze pro zařízení se systémem Ice Cream Sandwich a vyšší), a je tu dokonce i mobilní dostupné varianty Firefoxu a Opera.
Zejména Firefox Mobile stojí za pozornost. Kromě nabídky úžasného prohlížení vám také umožňuje spouštět aplikace pro vlastní mobilní operační systém Mozilly, Firefox OS Top 15 aplikací Firefox OS: The Ultimate List pro nové uživatele Firefox OS Top 15 aplikací Firefox OS: The Ultimate List For New Uživatelé operačního systému Firefox Pro to samozřejmě existuje aplikace: Koneckonců je to webová technologie. Mobilní operační systém Mozilla Firefox OS, který místo nativního kódu používá pro své aplikace HTML5, CSS3 a JavaScript. , a také nainstalovat spoustu úžasných doplňků Nepřípustné doplňky pro Firefox na vašem zařízení Android Nepřípustné doplňky pro Firefox na vašem zařízení Android Firefox pro Android má trik do rukávu: Doplňky. Stejně jako Firefox nabízí výkonnější systém rozšíření než Chrome na ploše, podporuje Chrome pro Android podporou rozšíření. Můžete nainstalovat ... .
Pokud chcete být obzvláště paranoidní, existuje dokonce port NoScript pro Firefox Mobile. Je však třeba poznamenat, že většina webových stránek je při vykreslování obsahu na straně klienta do značné míry závislá na JavaScriptu. Co je JavaScript a jak to funguje? [Vysvětlená technologie] Co je to JavaScript a jak to funguje? [Vysvětlení technologie] a používání NoScript téměř jistě rozbije většinu webových stránek. To možná vysvětluje, proč to James Bruce popsal jako součást „trifecta zla AdBlock, NoScript & Ghostery - The Trifecta of Evil AdBlock, NoScript & Ghostery - The Trifecta of Evil V posledních několika měsících jsem byl kontaktován společností velký počet čtenářů, kteří měli problémy se stahováním našich průvodců, nebo proč nevidí přihlašovací tlačítka nebo komentáře, které se nenačítají; a….
Nakonec, pokud je to možné, byste měli kromě instalace nejnovější verze operačního systému Android aktualizovat i svůj prohlížeč Android na nejnovější verzi. Tím zajistíte, že pokud Google uvolní opravu této chyby dále po řádku, jste chráněni.
Přesto stojí za zmínku, že existují problémy, které by tento problém mohl zasáhnout uživatele Android 4.4 KitKat. Nezjevilo se však nic, co by pro mě bylo dostatečně důležité, abych čtenářům doporučil přepnout prohlížeče.
Hlavní chyba v ochraně osobních údajů
Nedělejte chybu, jedná se o hlavní problém zabezpečení smartphonu, co opravdu potřebujete vědět o bezpečnosti smartphonu Co opravdu potřebujete vědět o bezpečnosti smartphonu. Přepnutím do jiného prohlížeče se však stáváte prakticky nezranitelnými. Zůstává však řada otázek týkajících se celkové bezpečnosti operačního systému Android.
Přejdete na něco bezpečnějšího, jako je například super-zabezpečené iOS Smartphone Security: Mohou iPhony získat malware? Zabezpečení smartphonu: Mohou iPhony získat malware? Malware, který ovlivňuje „tisíce“ telefonů iPhone, může krást přihlašovací údaje App Store, ale většina uživatelů iOS je naprosto bezpečná - co tedy řeší iOS a nepoctivý software? nebo (můj oblíbený) Blackberry 10 10 důvodů, proč dát BlackBerry 10 A vyzkoušet dnes 10 důvodů, proč dát BlackBerry 10 A vyzkoušet dnes BlackBerry 10 má některé docela neodolatelné funkce. Zde je deset důvodů, proč byste to měli chtít zkusit. ? Nebo snad zůstanete věrní Androidu a instalujete zabezpečenou ROM jako Paranoid Android nebo Omirom 5 důvodů, proč byste měli Flash OmniROM do svého zařízení Android 5 důvodů, proč byste měli Flash OmniROM do svého zařízení Android Se spoustou vlastních možností ROM ven tam může být obtížné se vyrovnat pouze s jedním - ale měli byste opravdu zvážit OmniROM. ? Nebo možná ani nemáte tak strach.
Pojďme si o tom povídat. Okno s poznámkami je níže. Nemůžu se dočkat, až uslyším vaše myšlenky.
