Ce bogue du navigateur android va vous faire la mise à niveau à kitkat
Êtes-vous encore mise à niveau vers Android 4.4 KitKat? Voici quelque chose qui pourrait vous donner un peu d`encouragement pour faire le changement: un grave problème avec le navigateur stock sur les téléphones pré-KitKat a été découvert, et il pourrait permettre à des sites Web malveillants d`accéder aux données d`autres sites Web. Cela semble effrayant? Voici ce que vous devez savoir
Contenu
La question - qui a été découvert par le chercheur Rafay Baloch - voit les sites Web malveillants pouvoir injecter un code javascript arbitraire dans d`autres cadres, qui pourrait voir les cookies volés ou la structure et le balisage des sites étant directement interféré avec.
Les chercheurs en sécurité sont désespérément préoccupés par cela, avec Rapid7 - les responsables du cadre populaire de tests de sécurité, Metasploit - décrivant comme un « cauchemar de la vie privée ». Curieux de savoir comment cela fonctionne, pourquoi vous devriez être inquiet, et ce que vous pouvez faire à ce sujet? Lire la suite pour plus.
Un principe de base de sécurité: contournées
Le principe de base qui devrait empêcher cette attaque de se produire en premier lieu est appelé même politique d`origine. En bref, cela signifie que javascript côté client en cours d`exécution dans un site Web ne devrait pas pouvoir être interférer avec un autre site.
Cette politique a été un fondement de la sécurité des applications web, depuis qu`il a été introduit en 1995 avec Netscape Navigator 2. a mis en place chaque navigateur Web unique cette politique, comme une caractéristique fondamentale de sécurité, et par conséquent, il est extrêmement rare de voir un tel une vulnérabilité dans la nature.
Pour plus d`informations sur la façon dont fonctionne SOP, vous pouvez regarder la vidéo ci-dessus. Cela a été pris lors d`un événement en Allemagne, et est l`une des meilleures explications du protocole OWASP (Open Project Web App Security) Je l`ai vu jusqu`à présent.
Lorsqu`un navigateur est vulnérable à une attaque de by-pass SOP, il y a beaucoup de place pour les dommages. Un attaquant pourrait réalistement faire quoi que ce soit, d`utiliser l`API de localisation introduite avec la spécification HTML5 pour savoir où la victime se trouve, tout le chemin à voler les cookies.
Heureusement, la plupart des développeurs de navigateurs prennent ce genre d`attaque au sérieux. Ce qui le rend d`autant plus remarquable de voir une telle attaque « dans la nature.
Comment fonctionne le attaque
Donc, nous savons Même origine Polity est important. Et nous savons qu`un échec massif du stock navigateur Android peut potentiellement conduire à des attaquants de contourner cette mesure de sécurité cruciale? Mais comment ça fonctionne?
Eh bien, la preuve de concept donné par Rafay Baloch ressemble un peu à ceci:
Alors, qu`avons-nous ici? Eh bien, il y a un iFrame. Ceci est un élément HTML qui est utilisé pour permettre à des sites Web pour intégrer une autre page Web dans une autre page Web. Ils ne sont pas utilisés autant qu`ils étaient, en grande partie parce qu`ils sont un cauchemar SEO. Cependant, vous les trouverez encore souvent de temps en temps, et ils sont encore une partie de la spécification HTML, et n`ont pas encore été dépréciée.10 Erreurs SEO courantes qui peuvent détruire votre site Web [Partie I]10 Erreurs SEO courantes qui peuvent détruire votre site Web [Partie I]Lire la suite
Vient ensuite une tag HTML représentant un bouton d`entrée. Il contient un peu de javascript spécialement conçu (notez que fuite « u0000` ?) Qui, lorsque vous cliquez dessus, affiche le nom de domaine du site actuel. Toutefois, en raison d`une erreur dans le navigateur Android, il finit par accéder aux attributs de l`iFrame, et finit par l`impression « rhaininfosec.com » comme zone d`alerte javascript.
Sur Google Chrome, Internet Explorer et Firefox, ce type d`attaque serait tout simplement erreur sur. Il avait (selon le navigateur) produisent également un journal dans la console javascript informant que le navigateur a bloqué l`attaque. Sauf, pour une raison quelconque, le navigateur stock 4.4 pré-appareils Android ne le fait pas.
Impression d`un nom de domaine n`est pas très spectaculaire. Cependant, l`accès aux cookies et à exécuter javascript arbitraire dans un autre site est plutôt inquiétant. Heureusement, il y a quelque chose qui peut être fait.
Ce qui peut être fait?
Les utilisateurs ont quelques options ici. Tout d`abord, cesser d`utiliser le navigateur stock Android. Il est vieux, il est peu sûr et il y a des options beaucoup plus convaincante sur le marché en ce moment. Google a publié Chrome pour Android (Bien que, seulement pour les appareils fonctionnant sous Sandwich à la crème glacée et plus), et il y a même des variantes mobiles de Firefox et Opera disponible.Google Chrome lance Enfin pour Android (ICS uniquement) [Nouvelles]Google Chrome lance Enfin pour Android (ICS uniquement) [Nouvelles]Lire la suite
Firefox Mobile est en particulier mérite l`attention. En plus d`offrir une expérience de navigation étonnante, il vous permet également d`exécuter applications pour son propre système d`exploitation mobile de Mozilla, Firefox OS, ainsi que l`installation d`un la richesse des add-ons impressionnants.
Si vous voulez être particulièrement paranoïaque, il y a même un portage de NoScript pour Firefox Mobile. Bien, il convient de noter que la plupart des sites sont fortement dépendants javascript pour le rendu politesses côté client, et l`utilisation de NoScript presque certainement briser la plupart des sites. Cela explique peut-être pourquoi James Bruce a décrit dans le cadre de la «tiercé gagnant du mal« .Qu`est-ce que javascript et comment ça marche? [Technologie Explained]Qu`est-ce que javascript et comment ça marche? [Technologie Explained]Lire la suite
Enfin, si possible, vous seriez encouragés à mettre à jour votre navigateur Android à la dernière version, en plus d`installer la dernière version du système d`exploitation Android. Cela garantit que Google devrait publier un correctif pour ce bogue plus loin sur la ligne, vous êtes protégé.
Bien, il est intéressant de noter qu`il ya des rumeurs que cette question pourrait frapper les utilisateurs d`Android 4.4 KitKat. Cependant, rien n`a émergé qui est suffisamment important pour que je conseille aux lecteurs de changer de navigateur.
Un bug majeur de la vie privée
Ne vous méprenez pas, c`est problème majeur de la sécurité des smartphones. Cependant, en passant à un autre navigateur, vous devenez pratiquement invulnérable. Cependant, un certain nombre de questions demeurent au sujet de la sécurité globale du système d`exploitation Android.Ce que vous avez vraiment besoin de savoir sur Smartphone SecurityCe que vous avez vraiment besoin de savoir sur Smartphone SecurityLire la suite
Serez-vous passez à quelque chose un peu plus sûr, comme super-sécurité iOS ou (Mon préféré) Blackberry 10? Ou peut-être vous resterez fidèle à Android, et l`installation d`une ROM sécurisé comme Paranoid Android ou Omirom? Ou peut-être vous n`êtes même pas inquiet.
Causons à ce sujet. La boîte de commentaires ci-dessous est. Je ne peux pas attendre d`entendre vos pensées.