Oglas

Trebate li nadograditi na Android 4.4 KitKat? Evo nečega što bi vas moglo ohrabriti za promjenu: ozbiljan problem sa zalihama Otkriven je preglednik na telefonima pre KitKat i on može omogućiti zlonamjernim web lokacijama pristup podacima drugih web stranica. Zvuči zastrašujuće? Evo što trebate znati

Pitanje - što je bilo prvi otkrio istraživač Rafay Baloch - vidi da zlonamjerne web stranice mogu umetnuti proizvoljni JavaScript u druge okvire koji mogu vidjeti ukradene kolačiće ili izravno ometati strukturu i označavanje web stranica.

Sigurnosni istraživači očajnički su zabrinuti zbog čega će Rapid7, tvorci popularnog okvira sigurnosnog testiranja, Metasploit - opisujući to kao "noćnu moru o privatnosti". Zanima vas kako to radi, zašto biste se trebali brinuti i što možete poduzeti u vezi s tim? Pročitajte više.

Osnovno načelo sigurnosti: Zaobiđeno

Osnovni princip koji bi prije svega trebao spriječiti da se napad dogodi naziva se Politika istog podrijetla. Ukratko, to znači da JavaScript na strani klijenta koji se izvodi na jednoj web stranici ne bi smio ometati neku drugu web lokaciju.

instagram viewer

Ova je politika osnova za sigurnost web aplikacija, otkad je prvi put predstavljena 1995. godine s Netscape Navigator 2. Svaki pojedinačni web preglednik je implementirao ovu politiku, kao osnovnu sigurnosnu značajku, i kao rezultat toga je nevjerojatno rijetko vidjeti takvu ranjivost u divljini.

Da biste saznali više o načinu rada SOP-a, pogledajte gornji videozapis. Ovo je snimljeno na događaju OWASP (Open Web App Security Project) u Njemačkoj i jedno je od najboljih objašnjenja protokola koji sam dosad vidio.

Kada je preglednik ranjiv za napad SOP bypass-a, ima puno prostora za štetu. Napadač može izvesti bilo što, od korištenja lokacijskog API-ja uvedenog u specifikaciju HTML5 da otkrije gdje se žrtva nalazi, pa sve do krađe kolačića.

Srećom, većina programera preglednika ozbiljno shvaća ovu vrstu napada. Zbog čega je još zapaženiji takav napad vidjeti "u divljini".

Kako djeluje Attack

Dakle, znamo Politika istog podrijetla je važna. A znamo da masovno neuspjeh preglednika Android dionica može potencijalno dovesti do napadača koji zaobilaze ovu ključnu sigurnosnu mjeru? Ali kako to djeluje?

Pa, dokaz koncepta koji je dao Rafay Baloch izgleda pomalo ovako:
[VIŠE NIJE DOSTUPAN]
Dakle, što imamo ovdje? Pa, postoji iFrame. Ovo je HTML element koji se upotrebljava za dopuštanje web lokacijama da ugrade drugu web stranicu unutar druge web stranice. Ne upotrebljavaju se toliko kao nekada, uglavnom zato što su SEO noćna mora 10 najčešćih grešaka u SEO koje mogu uništiti vašu web stranicu [dio I] Čitaj više . Međutim, i dalje ih povremeno pronađete i još su dio HTML specifikacije i još nisu zastarjele.

Nakon toga je a HTML oznaka koja predstavlja tipka za unos. Sadrži neki posebno izrađeni JavaScript (primijetite da slijedi "\ u0000"?) Koji se, kada se klikne, prikazuje naziv domene trenutne web stranice. Međutim, zbog pogreške u Android pretraživaču, on pristupa pristupima atributa iFrame i ispisuje 'rhaininfosec.com' kao okvir za upozorenje JavaScripta.

android-html-napad

Na Google Chromeu, Internet Exploreru i Firefoxu ova bi se vrsta napada jednostavno isključila. To će (ovisno o pregledniku) također stvoriti zapisnik na JavaScript konzoli kojim obavještava da je preglednik blokirao napad. Osim, iz nekog razloga, preglednik dionica na uređajima pre Android-a 4.4 to ne čini.

android-html-konzola

Ispis imena domene nije strašno spektakularno. Međutim, pristupanje kolačićima i izvršavanje proizvoljnog JavaScripta na drugom web mjestu je prilično zabrinjavajuće. Srećom, postoji nešto što se može učiniti.

Što može biti učinjeno?

Korisnici ovdje imaju nekoliko opcija. Prvo, prestanite koristiti preglednik dionica Android. Stara je, nesigurna i trenutno na tržištu postoje daleko uvjerljive opcije. Google je izdao Chrome za Android Google Chrome napokon lansirao Android (samo za ICS) [Novosti] Čitaj više (iako, samo za uređaje koji imaju Sendvič od sladoleda i više), a dostupne su čak i mobilne verzije Firefoxa i Opere.

Na Firefox Mobile posebno vrijedi obratiti pozornost. Osim što nudi nevjerojatno iskustvo pregledavanja, omogućuje vam i trčanje aplikacije za vlastiti mobilni operacijski sustav Mozille, Firefox OS Top 15 Firefox OS aplikacija: Ultimate popis za nove korisnike Firefox OS-aNaravno, za to postoji i aplikacija: Na kraju krajeva, to je web tehnologija. Mozillin operativni sustav Firefox OS koji umjesto matičnog koda koristi HTML5, CSS3 i JavaScript za svoje aplikacije. Čitaj više , kao i instalirati bogatstvo fenomenalnih dodataka 10 najboljih dodataka Firefox za AndroidJedan od najboljih aspekata Firefoxa na Androidu je njegova dodatna podrška. Pogledajte ove bitne dodatke za Firefox za Android. Čitaj više .

Ako želite biti posebno paranoični, tu je čak i prijenos NoScript-a za Firefox Mobile. Iako, treba napomenuti da većina web stranica jako ovisi o njima JavaScript za pružanje ljepota na strani klijenta Što je JavaScript i kako to radi? [Objašnjena tehnologija] Čitaj više i upotreba NoScript-a gotovo sigurno razbiti većinu web stranica. Ovo možda objašnjava zašto ju je James Bruce opisao kao dio 'trifecta zla AdBlock, NoScript i Ghostery - Trifecta zlaU posljednjih nekoliko mjeseci kontaktirao me dobar broj čitatelja koji su imali problema s preuzimanjem naših vodiča ili zašto ne mogu vidjeti gumbe za prijavu ili komentare koji se ne učitavaju; i u... Čitaj više ‘.

Konačno, ako je moguće, preporučujemo vam da ažurirate preglednik Android na najnoviju verziju, uz instaliranje najnovije verzije operacijskog sustava Android. To osigurava da će Google, ako ispadne ispravak ovog buga i dalje niz liniju, biti zaštićen.

Iako, vrijedi to primijetiti postoje tutnjave koje bi mogle potencijalno pogoditi korisnike Androida 4.4 KitKat. Međutim, nije se stvorilo ništa što bi dovoljno savjetovalo čitatelje da zamijene preglednike.

Glavna pogreška u zaštiti privatnosti

Nemojte pogriješiti, ovo je veliko sigurnosno pitanje pametnih telefona Što zaista morate znati o sigurnosti pametnih telefona Čitaj više . No, prelaskom na drugi preglednik postajete gotovo neranjivi. No, ostaje niz pitanja o ukupnoj sigurnosti operativnog sustava Android.

Hoćete li se prebaciti na nešto malo sigurnije, poput super siguran iOS Sigurnost pametnih telefona: Mogu li iPhone uređaji dobiti zlonamjerni softver?Zlonamjerni softver koji utječe na "tisuće" iPhonea može ukrasti vjerodajnice App Store-a, no većina korisnika iOS-a potpuno je sigurna - pa što je s iOS-om i rogue softverom? Čitaj više ili (moj omiljeni) Blackberry 10 10 razloga za BlackBerry 10 A Pokušajte danasBlackBerry 10 ima neke prilično neodoljive osobine. Evo deset razloga zbog kojih biste to mogli poželjeti. Čitaj više ? Ili ćete možda ostati vjerni Androidu i instalirati siguran ROM poput Paranoid Android ili Omirom 5 razloga zašto biste trebali bljesnuti OmniROM na svoj Android uređajS hrpom prilagođenih opcija ROM-a vani se može teško nagoditi na samo jednoj - ali stvarno biste trebali razmotriti OmniROM. Čitaj više ? Ili možda nisi ni ti zabrinuti.

Razgovarajmo o tome. Okvir za komentare nalazi se u nastavku. Jedva čekam da čujem vaše misli.

Matthew Hughes je programer i pisac softvera iz Liverpoola u Engleskoj. Rijetko se nađe bez šalice jake crne kave u ruci i apsolutno obožava svoj Macbook Pro i svoj fotoaparat. Njegov blog možete pročitati na http://www.matthewhughes.co.uk i slijedite ga na twitteru na @matthewhughes.