Harry James
0 
1114
22
Skal du endnu opgradere til Android 4.4 KitKat? Her er noget, der muligvis giver dig en smule opmuntring til at skifte: et alvorligt problem med lagerbrowseren på pre-KitKat-telefoner er blevet opdaget, og det kan give ondsindede websteder adgang til dataene fra andre websteder. Lyder skræmmende? Her er hvad du har brug for at vide
Spørgsmålet - som først blev opdaget af forskeren Rafay Baloch - ser ondsindede websteder kunne injicere vilkårlig JavaScript i andre rammer, som kunne se, at cookies blev stjålet, eller strukturen og markeringen af websteder, der direkte forstyrres med.
Sikkerhedsforskere er desperat bekymrede over dette, idet Rapid7 - producenterne af den populære sikkerhedstestramme, Metasploit - beskriver det som et 'privatlivs mareridt'. Er du nysgerrig efter, hvordan det fungerer, hvorfor du skal være bekymret, og hvad du kan gøre ved det? Læs videre for mere.
Et grundlæggende sikkerhedsprincip: Omgået
Det grundlæggende princip, der skal forhindre dette angreb i første omgang kaldes Same Origin Policy. Kort sagt betyder det, at JavaScript fra klientsiden, der kører på et websted, ikke kan være i stand til at forstyrre et andet websted.
Denne politik har været et fundament for webapplikationssikkerhed, lige siden den først blev introduceret i 1995 med Netscape Navigator 2. Hver enkelt webbrowser har implementeret denne politik, som en grundlæggende sikkerhedsfunktion, og som et resultat er det utroligt sjældent at se sådan en sårbarhed i naturen.
For mere information om, hvordan SOP fungerer, kan du se ovenstående video. Dette blev taget under et OWASP-arrangement (Open Web App Security Project) i Tyskland, og er en af de bedste forklaringer på den protokol, jeg har set hidtil.
Når en browser er sårbar over for et SOP-bypass-angreb, er der meget plads til skader. En angriber kunne praktisk talt gøre alt fra at bruge placerings-API, der blev introduceret med HTML5-specifikationen, for at finde ud af, hvor et offer befinder sig, helt til at stjæle cookies.
Heldigvis tager de fleste browserudviklere denne form for angreb alvorligt. Hvilket gør det desto mere bemærkelsesværdigt at se et sådant angreb 'i naturen'.
Sådan fungerer angrebet
Så vi ved, at Same Origin Polity er vigtig. Og vi ved, at en massiv svigt i aktien Android-browser potentielt kan føre til, at angribere omgå denne afgørende sikkerhedsforanstaltning? Men hvordan fungerer det?
Nå, beviset på koncept, der er givet af Rafay Baloch, ser lidt sådan ud:
Så hvad har vi her? Der er en iFrame. Dette er et HTML-element, der bruges til at give websteder mulighed for at integrere en anden webside på en anden webside. De bruges ikke så meget, som de plejede at være, stort set fordi de er et SEO-mareridt 10 Almindelige SEO-fejl, der kan ødelægge dit websted [Del I] 10 Almindelige SEO-fejl, der kan ødelægge dit websted [Del I]. Imidlertid finder du dem stadig ofte fra tid til anden, og de er stadig en del af HTML-specifikationen og er endnu ikke blevet forældet.
Efter dette er et HTML-tag, der repræsenterer en input-knap. Dette indeholder nogle specielt udformede JavaScript (bemærk, at efterfølgende '\ u0000'?), Som når det klikkes, sender domænenavnet på det aktuelle websted. På grund af en fejl i Android-browseren ender det dog med at få adgang til iFrames attributter og ender med at udskrive 'rhaininfosec.com' som en JavaScript-advarselsboks.
På Google Chrome, Internet Explorer og Firefox ville denne type angreb ganske enkelt fejle. Det ville (afhængigt af browseren) også producere en log i JavaScript-konsollen for at informere om, at browseren blokerede angrebet. Med undtagelse af en eller anden grund gør lagerbrowseren på pre-Android 4.4-enheder ikke det.
Udskrivning af et domænenavn er ikke meget spektakulært. At få adgang til cookies og udføre vilkårlig JavaScript på et andet websted er imidlertid ret bekymrende. Heldigvis er der noget, der kan gøres.
Hvad kan gøres?
Brugere har et par muligheder her. For det første skal du stoppe med at bruge Android-browseren. Den er gammel, den er usikker, og der er langt mere overbevisende muligheder på markedet lige nu. Google har frigivet Chrome til Android Google Chrome lanserer endelig til Android (kun ICS) [Nyheder] Google Chrome endelig lancerer til Android (kun ICS) [Nyheder] (skønt det kun er for enheder, der kører Ice Cream Sandwich og nyere), og der er endda mobil varianter af Firefox og Opera tilgængelige.
Firefox Mobile er især værd at være opmærksom på. Ud over at tilbyde en fantastisk browsingoplevelse giver det dig også mulighed for at køre applikationer til Mozillas eget mobile operativsystem, Firefox OS Top 15 Firefox OS Apps: Den ultimative liste for nye Firefox OS-brugere Top 15 Firefox OS Apps: Den ultimative liste til nyt Firefox OS-brugere Der er selvfølgelig en app til det: Det er trods alt webteknologi. Mozillas mobile operativsystem Firefox OS, der i stedet for indbygget kode bruger HTML5, CSS3 og JavaScript til sine apps. , samt installere et væld af fantastiske add-ons Unmissable Addons til Firefox på din Android-enhed Unmissable Addons For Firefox på din Android-enhed Firefox til Android har et trick op i ærmet: Add-ons. Ligesom Firefox tilbyder et mere kraftfuldt udvidelsessystem end Chrome på skrivebordet, slår det Chrome til Android ved at understøtte udvidelser. Du kan installere ... .
Hvis du vil være særlig paranoid, er der endda en porting af NoScript til Firefox Mobile. Det skal dog bemærkes, at de fleste websteder er stærkt afhængige af JavaScript for at gengive pynt på klientsiden Hvad er JavaScript, og hvordan fungerer det? [Teknologi forklaret] Hvad er JavaScript, og hvordan fungerer det? [Teknologi forklaret], og brug af NoScript vil næsten helt sikkert ødelægge de fleste websteder. Dette forklarer måske, hvorfor James Bruce beskrev det som en del af 'trifecta of evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil I de sidste par måneder er jeg blevet kontaktet af et godt antal læsere, der har haft problemer med at downloade vores guider, eller hvorfor de ikke kan se login-knapperne eller kommentarerne ikke indlæses; og i… '.
Endelig, hvis muligt, vil du blive opfordret til at opdatere din Android-browser til den nyeste version ud over at installere den nyeste version af Android-operativsystemet. Dette sikrer, at hvis Google frigiver en rettelse til denne fejl længere nede på linjen, er du beskyttet.
Skønt det er værd at bemærke, at der er rumblings om, at dette problem potentielt kan ramme brugere af Android 4.4 KitKat. Imidlertid er der ikke fremkommet noget, der er tilstrækkeligt stort for mig til at rådgive læserne om at skifte browsere.
Et stort privatlivets fejl
Gør ingen fejl, dette er et vigtigt smartphonesikkerhedsspørgsmål. Hvad du virkelig har brug for at vide om smartphonesikkerhed, hvad du virkelig har brug for at vide om smartphonesikkerhed. Ved at skifte til en anden browser bliver du imidlertid praktisk talt usårbar. Der er dog stadig en række spørgsmål om den generelle sikkerhed for Android-operativsystemet.
Vil du skifte til noget lidt mere sikkert, ligesom supersikker iOS Smartphone Security: Kan iPhones få malware? Smartphone-sikkerhed: Kan iPhones få malware? Malware, der påvirker "tusinder" af iPhones, kan stjæle App Store-legitimationsoplysninger, men størstedelen af iOS-brugere er helt sikre - så hvad er der med iOS og useriøs software? eller (min favorit) Blackberry 10 10 grunde til at give BlackBerry 10 en prøve i dag 10 grunde til at give BlackBerry 10 en prøve i dag BlackBerry 10 har nogle ret uimodståelige funktioner. Her er ti grunde til, at du måske vil give den en chance. ? Eller måske forbliver du loyal overfor Android og installerer en sikker ROM som Paranoid Android eller Omirom 5 grunde til, at du skal blinke OmniROM til din Android-enhed 5 grunde til, at du skal blinke OmniROM til din Android-enhed Med en masse tilpassede ROM-indstillinger ud der kan det være svært at slå sig ned på en - men du skal virkelig overveje OmniROM. ? Eller måske er du ikke engang så bekymret.
Lad os chatte om det. Kommentarboksen er nedenfor. Jeg kan ikke vente med at høre dine tanker.
