Devi ancora eseguire l'aggiornamento ad Android 4.4 KitKat? Ecco qualcosa che potrebbe darti un po 'di incoraggiamento per fare il passaggio: è stato scoperto un problema serio con il browser di serie sui telefoni pre-KitKat, e potrebbe consentire ai siti Web dannosi di accedere ai dati di altri siti web. Sembra spaventoso? Ecco cosa devi sapere
Il problema - che è stato scoperto per la prima volta dal ricercatore Rafay Baloch - vede siti Web dannosi in grado di iniettare JavaScript arbitrario in altri frame, che potrebbero vedere rubare i cookie, o la struttura e il markup dei siti Web che vengono interferiti direttamente.
I ricercatori della sicurezza sono disperatamente preoccupati di questo, con Rapid7 - i creatori del famoso framework per i test di sicurezza, Metasploit - che lo descrive come un "incubo della privacy". Curioso di come funziona, perché dovresti essere preoccupato e cosa puoi fare al riguardo? Continua a leggere per saperne di più.
Un principio di sicurezza di base: bypassato
Il principio di base che dovrebbe impedire che questo attacco si verifichi in primo luogo è chiamato Same Origin Policy. In breve, significa che JavaScript sul lato client in esecuzione in un sito Web non dovrebbe essere in grado di interferire con un altro sito web.
Questa politica è stata la base della sicurezza delle applicazioni Web, sin da quando è stata introdotta per la prima volta nel 1995 con Netscape Navigator 2. Ogni singolo browser Web ha implementato questa politica come una caratteristica fondamentale di sicurezza e, di conseguenza, è incredibilmente raro vedere tali una vulnerabilità in natura.
Per ulteriori informazioni su come funziona SOP, potresti voler guardare il video sopra. Questo è stato preso in un evento OWASP (Open Web App Security Project) in Germania, ed è una delle migliori spiegazioni del protocollo che ho visto finora.
Quando un browser è vulnerabile a un attacco di bypass SOP, c'è molto spazio per i danni. Un utente malintenzionato potrebbe fare qualsiasi cosa, dall'utilizzo dell'API di localizzazione introdotta con le specifiche HTML5 per scoprire dove si trova una vittima, fino al furto di cookie.
Fortunatamente, la maggior parte degli sviluppatori di browser prende sul serio questo tipo di attacco. Il che rende ancor più degno di nota vedere un simile attacco "in the wild".
Come funziona l'attacco
Quindi, sappiamo che la stessa Polity di origine è importante. E sappiamo che un massiccio fallimento del browser Android di serie può potenzialmente portare ad agguerranti aggiramenti di questa cruciale misura di sicurezza? Ma come funziona?
Bene, la dimostrazione del concetto data da Rafay Baloch assomiglia un po 'a questo:
Allora, cosa abbiamo qui? Bene, c'è un iFrame. Questo è un elemento HTML che viene utilizzato per consentire ai siti Web di incorporare un'altra pagina Web all'interno di un'altra pagina Web. Non vengono utilizzati come prima, in gran parte perché sono un incubo SEO 10 Errori SEO comuni che possono distruggere il tuo sito [Parte I] 10 Errori SEO comuni che possono distruggere il tuo sito [Parte I] Ulteriori informazioni. Tuttavia, spesso le trovi sempre di tanto in tanto e fanno ancora parte delle specifiche HTML e non sono ancora state deprecate.
Di seguito è riportato un tag HTML che rappresenta un pulsante di input. Questo contiene JavaScript appositamente predisposto (si noti che segue '\ u0000'?) Che, se cliccato, restituisce il nome di dominio del sito web corrente. Tuttavia, a causa di un errore nel browser Android, finisce per accedere agli attributi di iFrame e finisce per stampare 'rhaininfosec.com' come una casella di avviso JavaScript.
Su Google Chrome, Internet Explorer e Firefox, questo tipo di attacco sarebbe semplicemente un errore. Sarebbe (a seconda del browser) anche produrre un log nella console JavaScript informando che il browser ha bloccato l'attacco. Tranne che, per qualche motivo, il browser di serie su dispositivi pre-Android 4.4 non lo fa.
Stampare un nome di dominio non è terribilmente spettacolare. Tuttavia, l'accesso ai cookie e l'esecuzione di JavaScript arbitrario in un altro sito Web sono piuttosto preoccupanti. Per fortuna, c'è qualcosa che può essere fatto.
Cosa si può fare?
Gli utenti hanno alcune opzioni qui. In primo luogo, smetti di usare il browser Android di serie. È vecchio, è insicuro e ci sono opzioni molto più interessanti sul mercato in questo momento. Google ha rilasciato Chrome per Android Google Chrome finalmente lancia per Android (solo ICS) [Notizie] Google Chrome finalmente lancia per Android (solo ICS) [Notizie] Leggi di più (anche se, solo per i dispositivi che eseguono Ice Cream Sandwich e fino), e c'è Disponibili anche le varianti mobili di Firefox e Opera.
In particolare, vale la pena prestare attenzione a Firefox Mobile. Oltre ad offrire una straordinaria esperienza di navigazione, consente anche di eseguire applicazioni per il proprio sistema operativo mobile di Mozilla, Firefox OS 15 principali app per Firefox OS: l'elenco definitivo per i nuovi utenti di Firefox OS Le 15 principali app per Firefox OS: l'elenco definitivo per nuovi Utenti di Firefox OS Ovviamente esiste un'app: dopotutto è la tecnologia web. Sistema operativo mobile di Mozilla Firefox OS che, al posto del codice nativo, utilizza HTML5, CSS3 e JavaScript per le sue app. Leggi di più, oltre a installare una serie di fantastici componenti aggiuntivi Componenti aggiuntivi irrinunciabili per Firefox sul tuo dispositivo Android Componenti aggiuntivi da non perdere per Firefox sul tuo dispositivo Android Firefox per Android ha un asso nella manica: add-on. Proprio come Firefox offre un sistema di estensione più potente di Chrome sul desktop, batte Chrome per Android supportando le estensioni. Puoi installare ... Leggi altro.
Se vuoi essere particolarmente paranoico, c'è anche un porting di NoScript per Firefox Mobile. Anche se, va notato che la maggior parte dei siti web sono fortemente dipendenti da JavaScript per rendere le sottigliezze lato client Che cos'è JavaScript e come funziona? [Tecnologia spiegata] Che cos'è JavaScript e come funziona? [Technology Explained] Leggi di più, e l'uso di NoScript quasi sicuramente interromperà la maggior parte dei siti web. Questo, forse, spiega perché James Bruce l'ha descritto come parte della "tripletta di malvagio AdBlock, NoScript & Ghostery - The Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil Negli ultimi mesi, sono stato contattato da un buon numero di lettori che hanno avuto problemi a scaricare le nostre guide o perché non riescono a visualizzare i pulsanti di accesso oi commenti non caricati; e in ... Leggi di più '.
Infine, se possibile, sarai incoraggiato ad aggiornare il tuo browser Android all'ultima versione, oltre a installare l'ultima versione del sistema operativo Android. Questo garantisce che Google rilasci una correzione per questo bug più avanti, sei protetto.
Anche se, vale la pena notare che ci sono rumble che questo problema potrebbe potenzialmente colpire gli utenti di Android 4.4 KitKat. Tuttavia, non è emerso nulla di sufficientemente significativo da consentirmi ai lettori di cambiare browser.
Un grosso bug di privacy
Non commettere errori, questo è un importante problema di sicurezza per smartphone. Cosa devi veramente sapere su Smartphone Security. Cosa devi veramente sapere su Smartphone Security Ulteriori informazioni. Tuttavia, passando a un altro browser, diventi praticamente invulnerabile. Tuttavia, rimangono alcune domande sulla sicurezza generale del sistema operativo Android.
Passerai a qualcosa di un po 'più sicuro, come iOS Security Security super-sicuro: gli iPhone possono ottenere malware? Smartphone Security: gli iPhone possono ottenere malware? I malware che colpiscono "migliaia" di iPhone possono rubare le credenziali di App Store, ma la maggior parte degli utenti iOS sono perfettamente al sicuro - quindi qual è il problema con iOS e il software canaglia? Per saperne di più o (il mio preferito) Blackberry 10 10 motivi per dare BlackBerry 10 A Try today 10 motivi per dare BlackBerry 10 A Try Today BlackBerry 10 ha alcune caratteristiche piuttosto irresistibili. Ecco dieci motivi per cui potresti voler provare. Leggi di più ? O forse resterai fedele ad Android e installerai una ROM sicura come Paranoid Android o Omirom 5 Motivi per cui dovresti Flash OmniROM sul tuo dispositivo Android 5 motivi per cui dovresti Flash OmniROM sul tuo dispositivo Android Con una serie di opzioni personalizzate per ROM lì, può essere difficile accontentarsi di uno solo - ma dovresti davvero considerare OmniROM. Leggi di più ? O forse non sei nemmeno così preoccupato.
Parliamo di questo. La casella dei commenti è qui sotto. Non vedo l'ora di sentire i tuoi pensieri.
