Reklāma

Vai jūs vēl jaunināt uz Android 4.4 KitKat? Šeit ir kaut kas, kas varētu jūs mazliet pamudināt mainīt: nopietna problēma ar krājumiem Iepriekš KitKat tālruņu pārlūks ir atklāts, un tas varētu ļaut ļaunprātīgām vietnēm piekļūt citu personu datiem vietnēs. Izklausās drausmīgi? Lūk, kas jums jāzina

Jautājums - kas bija pirmo reizi to atklāja pētnieks Rafajs Baločs - redz, ka ļaunprātīgas vietnes var iespiest patvaļīgu JavaScript citos rāmjos, kuros var redzēt nozagtos sīkfailus vai tieši traucēt vietņu struktūru un marķējumu.

Drošības pētniekus tas izmisīgi uztrauc, un Rapid7 - populārās drošības testēšanas sistēmas Metasploit veidotāji - aprakstot to kā “privātuma murgu”. Vēlaties zināt, kā tas darbojas, kāpēc jums vajadzētu uztraukties un ko jūs varat darīt? Lasiet vairāk.

Drošības pamatprincips: apiets

Pamatprincips, kam būtu jānovērš šī uzbrukuma rašanās, tiek saukts par vienas izcelsmes politiku. Īsāk sakot, tas nozīmē, ka klienta puses JavaScript, kas darbojas vienā vietnē, nedrīkstētu radīt traucējumus citā vietnē.

Šī politika ir bijusi tīmekļa lietojumprogrammu drošības pamats kopš tā ieviešanas 1995. gadā ar Netscape Navigator 2. Ikviens tīmekļa pārlūks ir ieviesis šo politiku kā galveno drošības līdzekli, un tāpēc ir neticami reti sastopami, lai redzētu šādu ievainojamību dabā.

Lai iegūtu papildinformāciju par SOP darbību, ieteicams noskatīties iepriekš minēto videoklipu. Tas tika veikts OWASP (Open Web App Security Project) pasākumā Vācijā, un tas ir viens no labākajiem protokola skaidrojumiem, ko līdz šim esmu redzējis.

Ja pārlūkprogramma ir neaizsargāta pret SOP apiet uzbrukumu, ir daudz vietas bojājumiem. Uzbrucējs var praktiski izdarīt jebko, sākot no atrašanās vietas API, kas ieviesta ar HTML5 specifikāciju, lai noskaidrotu upura atrašanās vietu, līdz pat sīkdatņu zagšanai.

Par laimi vairums pārlūku izstrādātāju nopietni uztver šāda veida uzbrukumus. Kas vēl vairāk ir ievērības cienīgs, ja redzam šādu uzbrukumu “savvaļā”.

Kā darbojas uzbrukums

Tātad, mēs zinām Svarīga ir tās pašas izcelsmes kārtība. Un mēs zinām, ka liela apjoma Android pārlūka kļūme potenciāli var novest pie tā, ka uzbrucēji apiet šo būtisko drošības pasākumu? Bet kā tas darbojas?

Rafaja Baloha sniegtais koncepcijas pierādījums izskatās mazliet šādi:
[VAIRS NAV PIEEJAMS]
Tātad, kas mums šeit ir? Nu, tur ir iFrame. Šis ir HTML elements, ko izmanto, lai vietnes varētu iegult citu Web lapu citā Web lapā. Tos neizmanto tik daudz, kā agrāk, galvenokārt tāpēc, ka viņi ir SEO murgs 10 izplatītas SEO kļūdas, kas var iznīcināt jūsu vietni [I daļa] Lasīt vairāk . Tomēr jūs joprojām tos bieži atrodat laiku pa laikam, un tie joprojām ietilpst HTML specifikācijā un vēl nav novecojuši.

Pēc tam ir a HTML tags, kas attēlo ievades poga. Tajā ir iekļauts kāds īpaši izstrādāts JavaScript (vai pamanāt, ka aizzīmogo “\ u0000”?), Kas, noklikšķinot, izvada pašreizējās vietnes domēna vārdu. Tomēr kļūdas dēļ Android pārlūkā tas piekļūst iFrame atribūtiem un drukā “rhaininfosec.com” kā JavaScript brīdinājuma lodziņu.

android-html-uzbrukums

Pārlūkprogrammās Google Chrome, Internet Explorer un Firefox šāda veida uzbrukumi vienkārši kļūdītos. Tas (atkarībā no pārlūka) arī izveidos žurnālu JavaScript konsolē, informējot, ka pārlūkprogramma ir bloķējusi uzbrukumu. Izņemot kaut kādu iemeslu dēļ krājumu pārlūku ierīcēs, kas pirms operētājsistēmas Android 4.4, to nedara.

android-html-console

Domēna vārda izdrukāšana nav šausmīgi iespaidīga. Tomēr piekļuvi sīkfailiem un patvaļīgas JavaScript izpildīšana citā vietnē ir satraucoša. Par laimi, var kaut ko darīt.

Ko var izdarīt?

Šeit lietotājiem ir dažas iespējas. Pirmkārt, pārtrauciet krājuma Android pārlūka lietošanu. Tas ir vecs, nedrošs, un šobrīd tirgū ir daudz vairāk pievilcīgu iespēju. Google ir izlaida pārlūku Chrome Android ierīcēm Beidzot tiek palaists Google Chrome operētājsistēmai Android (tikai ICS) [Ziņas] Lasīt vairāk (lai gan, tikai ierīcēm, kurās darbojas Ice Cream Sandwich un jaunākas versijas), un ir pieejami pat mobilo Firefox un Opera varianti.

Īpaši vērts pievērst uzmanību Firefox Mobile. Tas piedāvā ne tikai pārsteidzošu pārlūkošanas pieredzi, bet arī ļauj darboties Mozilla pašas mobilās operētājsistēmas Firefox OS lietojumprogrammas 15 populārākās Firefox OS lietotnes: galvenais saraksts jauniem Firefox OS lietotājiemProtams, ir arī tāda lietotne: galu galā tā ir tīmekļa tehnoloģija. Mozilla mobilā operētājsistēma Firefox OS, kas vietējā koda vietā savām lietotnēm izmanto HTML5, CSS3 un JavaScript. Lasīt vairāk , kā arī instalējiet a bagātīgu papildinājumu bagātība 10 labākie Firefox papildinājumi Android ierīcēmViens no labākajiem Firefox aspektiem operētājsistēmā Android ir tā papildinājuma atbalsts. Iepazīstieties ar šiem būtiskajiem Firefox papildinājumiem Android ierīcēm. Lasīt vairāk .

Ja vēlaties būt īpaši paranoisks, tur pat ir portāls, kas paredzēts Firefox Mobile vietnei NoScript. Lai gan, jāatzīmē, ka vairums vietņu ir ļoti atkarīgas JavaScript, lai padarītu klienta puses nišas Kas ir JavaScript un kā tas darbojas? [Tehnoloģiju skaidrojums] Lasīt vairāk , un, izmantojot NoScript, gandrīz noteikti tiks iznīcināta lielākā daļa vietņu. Tas, iespējams, izskaidro, kāpēc Džeimss Brūss to raksturoja kā daļu no “ļaunuma trifekta AdBlock, NoScript & Ghostery - ļaunuma trifektaDažu pēdējo mēnešu laikā ar mani ir sazinājies liels skaits lasītāju, kuriem ir bijušas problēmas lejupielādēt mūsu ceļvežus vai kāpēc viņi neredz pieteikšanās pogas vai komentārus, kas netiek ielādēti; un iekšā ... Lasīt vairāk ‘.

Visbeidzot, ja iespējams, papildus Android operētājsistēmas jaunākās versijas instalēšanai jūs arī mudinātu atjaunināt savu Android pārlūkprogrammu uz jaunāko versiju. Tas nodrošina, ka gadījumā, ja Google izlaiž šīs kļūdas labojumu, jūs esat aizsargāts.

Lai gan, ir vērts to atzīmēt pastāv strīdi, ka šī problēma varētu potenciāli ietekmēt operētājsistēmas Android 4.4 KitKat lietotājus. Tomēr nav parādījies nekas pietiekami būtisks, lai es ieteiktu lasītājiem mainīt pārlūkprogrammas.

Galvenā konfidencialitātes kļūda

Nekļūdieties, tas ir a galvenā viedtālruņu drošības problēma Kas jums patiešām jāzina par viedtālruņu drošību Lasīt vairāk . Tomēr, pārslēdzoties uz citu pārlūku, jūs faktiski kļūstat neievainojams. Tomēr joprojām ir virkne jautājumu par Android operētājsistēmas vispārējo drošību.

Vai jūs pāriesit uz kaut ko mazliet drošāku, piemēram,? īpaši droša iOS Viedtālruņu drošība: vai iPhone var iegūt ļaunprātīgu programmatūru?Ļaunprātīga programmatūra, kas ietekmē "tūkstošiem" iPhones, var nozagt App Store akreditācijas datus, taču lielākā daļa iOS lietotāju ir pilnīgi droši - kā tad rīkoties ar iOS un negodīgu programmatūru? Lasīt vairāk vai (mans mīļākais) Blackberry 10 10 iemesli BlackBerry 10 izmēģināšanai šodienBlackBerry 10 ir dažas diezgan neatvairāmas funkcijas. Šeit ir desmit iemesli, kāpēc jūs varētu vēlēties to izmantot. Lasīt vairāk ? Vai varbūt jūs paliksit uzticīgs Android un instalēsit drošu ROM, piemēram, Android Paranoid vai Omirom 5 iemesli, kāpēc jums vajadzētu Flash OmniROM uz jūsu Android ierīciAr daudzām pielāgotajām ROM opcijām, kas pastāv, var būt grūti samierināties tikai ar vienu - bet jums patiešām vajadzētu apsvērt OmniROM. Lasīt vairāk ? Vai varbūt jūs pat nemaz neuztraucaties.

Parunāsim par to. Komentāru lodziņš ir zemāk. Es nevaru gaidīt, lai dzirdētu jūsu domas.

Metjū Hjūss ir programmatūras izstrādātājs un rakstnieks no Liverpūles, Anglijas. Viņš reti atrodams bez tasītes spēcīgas melnas kafijas rokā un absolūti dievina savu Macbook Pro un kameru. Jūs varat lasīt viņa emuāru vietnē http://www.matthewhughes.co.uk un seko viņam līdzi twitter vietnē @matthewhughes.