Peter Holmes
0 
1375
160
Trebate li nadograditi na Android 4.4 KitKat? Evo nečega što bi vam moglo malo ohrabriti za promjenu: otkriven je ozbiljan problem s preglednikom dionica na telefonima pre KitKat koji može zlonamjeranim web lokacijama omogućiti pristup podacima drugih web stranica. Zvuči zastrašujuće? Evo što trebate znati
Pitanje - koje je prvi otkrio istraživač Rafay Baloch - vidi da su zlonamjerne web stranice u stanju ubacivati proizvoljni JavaScript u druge okvire koji mogu vidjeti ukradene kolačiće ili izravno i izravno utjecati na strukturu i označavanje web stranica.
Zbog toga se očajnički brinu istraživači sigurnosti, a Rapid7 - tvorci popularnog okvira testiranja sigurnosti Metasploit - opisali su ga kao 'noćnu moru privatnosti'. Zanima vas kako to radi, zašto biste se trebali brinuti i što možete poduzeti u vezi s tim? Pročitajte više.
Osnovno načelo sigurnosti: Zaobiđeno
Osnovni princip koji bi prije svega trebao spriječiti da se napad dogodi naziva se Politika istog podrijetla. Ukratko, to znači da JavaScript na strani klijenta koji se izvodi na jednoj web stranici ne bi smio ometati neku drugu web lokaciju.
Ova je politika bila temelj sigurnosti web aplikacija, još od kada je prvi put uveden 1995. godine s Netscape Navigator 2. Svaki pojedinačni web preglednik je ovu politiku implementirao kao osnovnu sigurnosnu značajku, pa je rezultat toga vrlo rijetko vidjeti takve ranjivost u divljini.
Za više informacija o funkcioniranju SOP-a, pogledajte gornji videozapis. Ovo je snimljeno na događaju OWASP (Open Web App Security Project) u Njemačkoj, i jedno je od najboljih objašnjenja protokola koji sam dosad vidio..
Kada je preglednik ranjiv za napad SOP bypass-a, ima puno prostora za oštećenja. Napadač može izvesti bilo što, od korištenja lokacijskog API-ja uvedenog u specifikaciju HTML5 da otkrije gdje se žrtva nalazi, pa sve do krađe kolačića.
Srećom, većina programera preglednika ozbiljno shvaća ovu vrstu napada. Zbog čega je sve značajnije vidjeti takav napad "u divljini".
Kako djeluje Attack
Dakle, znamo da je politika istog podrijetla važna. A znamo da masovno neuspjeh preglednika Android dionica može potencijalno dovesti do napadača koji zaobilaze ovu ključnu sigurnosnu mjeru? Ali kako to radi?
Pa, dokaz koncepta koji je dao Rafay Baloch izgleda pomalo ovako:
Dakle, što imamo ovdje? Pa, tu je iFrame. Ovo je HTML element koji se koristi kako bi web lokacijama omogućilo ugrađivanje druge web stranice unutar druge web stranice. Ne koriste se toliko kao nekada, uglavnom zato što su SEO noćna mora 10 najčešćih grešaka u SEO koje mogu uništiti vašu web stranicu [prvi dio] 10 uobičajenih grešaka u SEO koje mogu uništiti vašu web stranicu [prvi dio]. Međutim, i dalje ih povremeno pronađete i još uvijek su dio HTML specifikacije i još nisu zastarjeli..
Slijedi HTML oznaka koja predstavlja gumb za unos. Sadrži neki posebno izrađeni JavaScript (primijetite da slijedi '\ u0000'?) Koji, kada se klikne, prikazuje naziv domene trenutne web stranice. Međutim, zbog pogreške u Android pretraživaču, on pristupa pristupima atributa iFrame i ispisuje 'rhaininfosec.com' kao JavaScript upozorenje.
U preglednicima Google Chrome, Internet Explorer i Firefox ova bi se vrsta napada jednostavno isključila. To će (ovisno o pregledniku) također proizvesti zapisnik u JavaScript konzoli obavještavajući da je preglednik blokirao napad. Osim, iz nekog razloga, preglednik dionica na uređajima pre Android-a 4.4 to ne čini.
Ispis imena domene nije strašno spektakularno. Međutim, pristupanje kolačićima i izvršavanje proizvoljnog JavaScripta na drugom web mjestu je prilično zabrinjavajuće. Srećom, postoji nešto što se može učiniti.
Što može biti učinjeno?
Korisnici ovdje imaju nekoliko opcija. Prvo, prestanite koristiti preglednik dionica Android. Stara je, nesigurna i trenutno na tržištu ima puno uvjerljivijih opcija. Google je objavio Chrome za Android Google Chrome napokon lansirao Android (samo za ICS) [Novosti] Google Chrome napokon lansirao Android (samo za ICS) [Vijesti] (iako, samo za uređaje koji imaju Sendvič od sladoleda i više), a tu je i mobilni uređaj dostupne su verzije Firefoxa i Opere.
Na Firefox Mobile posebno vrijedi obratiti pozornost. Osim što nudi nevjerojatno iskustvo pregledavanja, omogućuje vam i pokretanje aplikacija za vlastiti mobilni operativni sustav Mozilla, Firefox OS Top 15 Firefox OS Apps: Najnoviji popis za nove korisnike Firefox OS Top 15 Firefox OS Apps: Ultimate popis za novo Korisnici Firefox OS-a Naravno da za to postoji aplikacija: Na kraju krajeva, to je web tehnologija. Mozillin operativni sustav Firefox OS koji umjesto matičnog koda koristi HTML5, CSS3 i JavaScript za svoje aplikacije. , kao i instalirati mnoštvo fenomenalnih dodataka Neizostavni dodaci za Firefox na vašem Android uređaju Nepopustljivi dodaci za Firefox na vašem Android uređaju Firefox za Android ima trik u rukavu: Dodaci. Kao što Firefox nudi moćniji sustav proširenja od Chromea na radnoj površini, tako on pobjeđuje Chrome za Android podržavajući proširenja. Možete instalirati ... .
Ako želite biti posebno paranoični, postoji čak i prijenos NoScript-a za Firefox Mobile. Iako treba napomenuti da je većina web stranica jako ovisna o JavaScript-u za pružanje ljepota na strani klijenta Što je JavaScript i kako to radi? [Objasnjena tehnologija] Što je JavaScript i kako to radi? [Objasnjena tehnologija], a upotreba NoScript-a gotovo će sigurno slomiti većinu web stranica. Ovo možda objašnjava zašto ju je James Bruce opisao kao dio 'trifekta zla AdBlock, NoScript & Ghostery - Trifecta zla AdBlock, NoScript & Ghostery - Trifecta zla U proteklih nekoliko mjeseci kontaktirao me dobar broj čitatelja koji su imali problema s preuzimanjem naših vodiča ili zašto ne mogu vidjeti gumbe za prijavu ili komentare koji se ne učitavaju; i u… '.
Konačno, ako je moguće, preporučujemo vam da ažurirate svoj Android preglednik na najnoviju verziju, uz instaliranje najnovije verzije operacijskog sustava Android. To osigurava da će Google, ako ispadne ispravak ovog buga i dalje niz liniju, biti zaštićen.
Iako, vrijedi napomenuti da postoje tutnjave da bi ovaj problem potencijalno mogao pogoditi korisnike Androida 4.4 KitKat. Međutim, nije se stvorilo ništa što bi bilo dovoljno da bih savjetovao čitatelje da zamijene preglednike.
Glavna pogreška u zaštiti privatnosti
Nemojte pogriješiti, ovo je glavni sigurnosni problem pametnog telefona. Što stvarno trebate znati o sigurnosti pametnih telefona Što zapravo trebate znati o sigurnosti pametnih telefona. No, prelaskom na drugi preglednik postajete gotovo neranjivi. No, ostaje niz pitanja o ukupnoj sigurnosti operativnog sustava Android.
Hoćete li se prebacivati na nešto malo sigurnije, poput super sigurnog iOS-a Sigurnost pametnih telefona: Mogu li iPhonei dobiti zlonamjerni softver? Sigurnost pametnih telefona: Mogu li iPhone uređaji dobiti zlonamjerni softver? Zlonamjerni softver koji utječe na "tisuće" iPhonea može ukrasti vjerodajnice App Store-a, no većina korisnika iOS-a potpuno je sigurna - pa što je s iOS-om i rogue softverom? ili (moj omiljeni) BlackBerry 10 10 razloga da se BlackBerry 10 pokušajte danas 10 razloga da BlackBerry 10 pokušajte danas BlackBerry 10 ima prilično neodoljive značajke. Evo deset razloga zbog kojih biste to mogli poželjeti. ? Ili ćete možda ostati vjerni Androidu i instalirati siguran ROM poput Paranoidnog Android ili Omirom 5 razloga zašto biste trebali bljesnuti OmniROM na svoj Android uređaj 5 razloga zašto biste trebali bljesnuti OmniROM na svoj Android uređaj s hrpom prilagođenih opcija ROM-a? ondje se može teško nagoditi samo na jednom - ali stvarno biste trebali uzeti u obzir OmniROM. ? Ili možda niste ni toliko zabrinuti.
Razgovarajmo o tome. Okvir za komentare nalazi se u nastavku. Jedva čekam da čujem vaše misli.
