Mainos

Oletko vielä päivittämässä Android 4.4 KitKat -versioon? Tässä on jotain, joka saattaa antaa sinulle jonkin verran rohkaisua vaihtamaan: vakava ongelma osakkeissa Pre-KitKat -puhelimien selain on löydetty, ja se voi antaa haitallisten verkkosivustojen päästä käyttämään muiden tietoja sivustot. Kuulostaa pelottavalta? Tässä on mitä sinun täytyy tietää

Aihe - mikä oli ensin löytänyt tutkija Rafay Baloch - näkee haitallisten verkkosivustojen kykenevän injektoimaan mielivaltaisen JavaScriptin muihin kehyksiin, joissa voidaan nähdä varastettuja evästeitä tai verkkosivustojen rakennetta ja merkintöjä, joihin suoraan puututaan.

Turvallisuustutkijat ovat tästä huolissaan epätoivoisesti, ja Rapid7 - suositun tietoturvatestausjärjestelmän, Metasploitin - päättäjät - kuvailemalla sitä 'yksityisyyden painajaiseksi'. Oletko utelias siitä, miten se toimii, miksi sinun pitäisi olla huolissasi, ja mitä voit tehdä sille? Lue lisää.

Perusturvallisuusperiaate: Ohitettu

Perusperiaatetta, jonka pitäisi estää tämä hyökkäys ensinnäkin, kutsutaan saman alkuperäpolitiikkana. Lyhyesti sanottuna se tarkoittaa, että yhdessä verkkosivustossa toimivan asiakaspuolen JavaScript ei saisi olla häiritsevä toista verkkosivustoa.

instagram viewer

Tämä käytäntö on ollut perusta verkkosovellusten tietoturvalle siitä lähtien, kun se otettiin ensimmäisen kerran käyttöön vuonna 1995 Netscape Navigator 2: lla. Jokainen selain on toteuttanut tämän käytännön tärkeänä tietoturvaominaisuutena, ja sen seurauksena on uskomattoman harvinaista nähdä tällainen haavoittuvuus luonnossa.

Jos haluat lisätietoja SOP: n toiminnasta, voit katsoa yllä olevaa videota. Tämä otettiin OWASP-tapahtumassa (Open Web App Security Project) Saksassa, ja se on yksi parhaista selityksistä protokollille, jonka olen tähän mennessä nähnyt.

Kun selain on alttiina SOP-ohitushyökkäykselle, siellä on paljon tilaa vaurioille. Hyökkääjä voi tehdä mitä tahansa, käyttämällä HTML5-eritelmän mukana toimitettua sijainti-API: ta selvittääkseen uhrin sijainnin evästeiden varastamiseen saakka.

Onneksi useimmat selaimen kehittäjät ottavat tällaisen hyökkäyksen vakavasti. Mikä tekee erityisen huomionarvoiseksi nähdä tällaisen hyökkäyksen "luonnossa".

Kuinka hyökkäys toimii

Joten, me tiedämme Sama alkuperäpolitiikka on tärkeää. Ja tiedämme, että Android-selaimen massiivinen vika voi johtaa hyökkääjiin, jotka kiertävät tätä tärkeätä turvatoimenpidettä? Mutta miten se toimii?

No, Rafay Balochin esittämä konseptikuvaus näyttää vähän tältä:
[EI OLE ENÄÄ KÄYTETTÄVISSÄ]
Joten mitä meillä täällä on? No, siellä on iFrame. Tämä on HTML-elementti, jota käytetään verkkosivustojen upottamiseen toiselle verkkosivulle toiselle verkkosivulle. Niitä ei käytetä niin paljon kuin ennen, lähinnä siksi, että he ovat SEO painajainen 10 yleistä SEO-virhettä, jotka voivat tuhota verkkosivustosi [osa I] Lue lisää . Löydät ne kuitenkin usein ajoittain, ja ne ovat edelleen osa HTML-määritystä, eikä niitä ole vielä poistettu käytöstä.

Sen jälkeen on HTML-tunniste edustaa syöttöpainike. Tämä sisältää erikseen muotoiltua JavaScriptiä (huomaa, että lopussa '\ u0000'?), Joka napsautettaessa tuottaa nykyisen verkkosivuston verkkotunnuksen. Android-selaimessa tapahtuvan virheen takia se kuitenkin pääsee käyttämään iFramen ominaisuuksia ja tulostaa rhaininfosec.com JavaScript-hälytysruuduksi.

android-html-hyökkäys

Google Chromessa, Internet Explorerissa ja Firefoxissa tämäntyyppinen hyökkäys yksinkertaisesti erehtyisi. Se (selaimesta riippuen) tuottaa myös lokin JavaScript-konsoliin ilmoittaen, että selain esti hyökkäyksen. Paitsi jostain syystä Android-käyttöjärjestelmää edeltävien 4.4-laitteiden osakeselain ei tee sitä.

android-html-konsoli

Verkkotunnuksen tulostaminen ei ole kovin mahtavaa. Evästeisiin pääsy ja mielivaltaisen JavaScriptin suorittaminen toisella verkkosivustolla on kuitenkin melko huolestuttavaa. Onneksi on jotain, joka voidaan tehdä.

Mitä voidaan tehdä?

Käyttäjillä on täällä muutama vaihtoehto. Ensinnäkin, lopeta Android-selaimen käyttö. Se on vanha, epävarma, ja markkinoilla on tällä hetkellä paljon houkuttelevampia vaihtoehtoja. Googlella on julkaisi Chromen Androidille Google Chrome käynnistyy lopulta Androidille (vain ICS) [Uutiset] Lue lisää (tosin vain laitteille, joissa käytetään Ice Cream Sandwichia tai uudempaa), ja Firefoxista ja Operasta on saatavana jopa mobiiliversioita.

Erityisesti Firefox Mobile on kiinnitettävä huomiota. Sen lisäksi, että se tarjoaa uskomattoman selauskokemuksen, se mahdollistaa myös suorittamisen sovelluksia Mozillan omaan mobiili-käyttöjärjestelmään, Firefox OS: iin 15 suosituinta Firefox OS -sovellusta: Upea luettelo uusille Firefox OS -käyttäjilleTietysti siellä on sovellus: Se on web-tekniikka loppujen lopuksi. Mozillan mobiili käyttöjärjestelmä Firefox OS, joka käyttää alkuperäisen koodin sijasta sovelluksiinsa HTML5, CSS3 ja JavaScriptiä. Lue lisää , sekä asentaa runsaasti mahtavia lisäosia 10 parasta Firefox-lisäosaa AndroidilleYksi parhaista Firefoxin ominaisuuksista Androidissa on sen lisätuki. Katso nämä välttämättömät Firefox-lisäosat Androidille. Lue lisää .

Jos haluat olla erityisen vainoharhainen, siellä on jopa NoScript for Firefox Mobile -sovellus. On kuitenkin huomattava, että suurin osa verkkosivustoista on voimakkaasti riippuvaisia JavaScript asiakaspuolen mukavuuksien tekemiseen Mikä on JavaScript ja kuinka se toimii? [Teknologia selitetty] Lue lisää , ja NoScriptin käyttö tuhoaa lähes varmasti useimmat verkkosivustot. Ehkä tämä selittää miksi James Bruce kuvaili sitä osana 'pahan trifekta AdBlock, NoScript & Ghostery - Pahan trifektaattiMuutaman viime kuukauden aikana minuun on ottanut yhteyttä lukuisia lukijoita, joilla on ollut ongelmia oppaidemme lataamisessa tai miksi he eivät näe kirjautumispainikkeita tai kommentteja, joita ei ladata; ja sisään... Lue lisää ‘.

Viimeinkin, jos mahdollista, sinua rohkaistaan ​​päivittämään Android-selaimesi uusimpaan versioon Android-käyttöjärjestelmän uusimman version asentamisen lisäksi. Tämä varmistaa, että jos Google julkaisee korjauksen tälle virheelle myöhemmin, olet suojattu.

Vaikka se on syytä huomata on harhautuksia siitä, että tämä ongelma saattaa potkaista Android 4.4 KitKatin käyttäjiä. Mikään ei ole kuitenkaan syntynyt, mikä olisi riittävän olennaista neuvon lukijoita vaihtamaan selaimia.

Tärkeä tietosuojavirhe

Älä tee virhettä, tämä on a suuri älypuhelinten tietoturvaongelma Mitä todella sinun on tiedettävä älypuhelimien suojauksesta Lue lisää . Vaihtamalla toiseen selaimeen muutat kuitenkin käytännöllisesti katsoen haavoittuvaiseksi. Android-käyttöjärjestelmän yleiseen tietoturvaan liittyy kuitenkin useita kysymyksiä.

Vaihdoitko jotain hieman turvallisempaa, kuten erittäin turvallinen iOS Älypuhelimien suojaus: Voivatko iPhone saada haittaohjelmia?Haittaohjelmat, jotka vaikuttavat "tuhansiin" iPhoneihin, voivat varastaa App Store -käyttäjätiedot, mutta suurin osa iOS-käyttäjistä on täysin turvassa - joten mitä tekemistä iOS: n ja roistojen kanssa? Lue lisää tai (suosikkini) Blackberry 10 10 syytä antaa BlackBerry 10: lle kokeilla tänäänBlackBerry 10: llä on joitain melko vastustamattomia ominaisuuksia. Tässä on kymmenen syytä, miksi sinun kannattaa antaa se mennä. Lue lisää ? Tai ehkä pysyt uskollisena Androidille ja asennat suojatun ROM-levyn, kuten Paranoid Android tai Omirom 5 syytä miksi sinun pitäisi salata OmniROM Android-laitteeseesiJoukolla mukautettuja ROM-vaihtoehtoja siellä voi olla vaikeaa asettua vain yhteen - mutta sinun pitäisi todella harkita OmniROMia. Lue lisää ? Tai ehkä et ole edes niin huolissani.

Keskustelemme siitä. Kommenttiruutu on alla. En voi odottaa kuulevani ajatuksiasi.

Matthew Hughes on ohjelmistokehittäjä ja kirjailija Liverpoolista, Englannista. Hän on harvoin löydetty ilman kuppia vahvaa mustaa kahvia kädessään ja ihailee ehdottomasti MacBook Prota ja kameraansa. Voit lukea hänen bloginsa osoitteessa http://www.matthewhughes.co.uk ja seuraa häntä twitterissä osoitteessa @matthewhughes.