Reklame
Skal du endnu opgradere til Android 4.4 KitKat? Her er noget, der muligvis giver dig lidt opmuntring til at skifte: et alvorligt problem med bestanden browser på pre-KitKat-telefoner er blevet opdaget, og det kunne give ondsindede websteder adgang til andre data hjemmesider. Lyder skræmmende? Her er hvad du har brug for at vide
Problemet - hvilket var først opdaget af forskeren Rafay Baloch - ser ondsindede websteder være i stand til at injicere vilkårlig JavaScript i andre rammer, der kan se cookies stjålet, eller strukturen og markeringen af websteder, der direkte forstyrres.
Sikkerhedsforskere er desperat bekymrede over dette med Rapid7 - skabere af den populære sikkerhedstestramme, Metasploit - beskriver det som et 'privatlivets mareridt'. Er du nysgerrig efter, hvordan det fungerer, hvorfor du skal være bekymret, og hvad du kan gøre ved det? Læs videre for mere.
Et grundlæggende sikkerhedsprincip: Omgået
Det grundlæggende princip, der skal forhindre dette angreb i første omgang kaldes Same Origin Policy. Kort sagt betyder det, at JavaScript fra klientsiden, der kører på et websted, ikke kan være i stand til at forstyrre et andet websted.
Denne politik har været et fundament for webapplikationssikkerhed, lige siden den først blev introduceret i 1995 med Netscape Navigator 2. Hver enkelt webbrowser har implementeret denne politik som en grundlæggende sikkerhedsfunktion, og som et resultat er det utroligt sjældent at se en sådan sårbarhed i naturen.
For mere information om, hvordan SOP fungerer, kan du måske se ovenstående video. Dette blev taget under en OWASP (Open Web App Security Project) begivenhed i Tyskland og er en af de bedste forklaringer på den protokol, jeg har set hidtil.
Når en browser er sårbar over for et SOP-bypass-angreb, er der meget plads til skader. En angriber kunne praktisk talt gøre alt fra at bruge det placerings-API, der blev introduceret med HTML5-specifikationen, for at finde ud af, hvor et offer befinder sig, helt til at stjæle cookies.
Heldigvis tager de fleste browserudviklere denne form for angreb alvorligt. Hvilket gør det desto mere bemærkelsesværdigt at se et sådant angreb 'i naturen'.
Sådan fungerer angrebet
Så vi ved det Samme oprindelsespolity er vigtig. Og vi ved, at en massiv svigt i aktien Android-browser potentielt kan føre til, at angribere omgå denne afgørende sikkerhedsforanstaltning? Men hvordan fungerer det?
Nå, beviset på koncept, der er givet af Rafay Baloch, ser lidt sådan ud:
[IKKE LÆNGERE TILGÆNGELIG]
Så hvad har vi her? Nå, der er en iFrame. Dette er et HTML-element, der bruges til at give websteder mulighed for at integrere en anden webside på en anden webside. De er ikke brugt så meget, som de plejede at være, stort set fordi de er et SEO mareridt 10 almindelige SEO-fejl, der kan ødelægge dit websted [Del I] Læs mere . Dog finder du dem stadig ofte fra tid til anden, og de er stadig en del af HTML-specifikationen og er endnu ikke blevet forældet.
Efter dette er en HTML-tag repræsenterer en input-knap. Dette indeholder nogle specielt udformede JavaScript (bemærk, at efterfølgende ‘\ u0000’?), Som, når der klikkes, udlæser domænenavnet på det aktuelle websted. På grund af en fejl i Android-browseren ender det dog med at få adgang til iFrames attributter og ender med at udskrive 'rhaininfosec.com' som en JavaScript-advarselsboks.
På Google Chrome, Internet Explorer og Firefox ville denne type angreb ganske enkelt fejle. Det ville (afhængigt af browseren) også producere en log i JavaScript-konsollen for at informere om, at browseren blokerede angrebet. Med undtagelse af en eller anden grund gør lagerbrowseren på pre-Android 4.4-enheder ikke det.
Det er ikke meget spektakulært at udskrive et domænenavn. At få adgang til cookies og udføre vilkårlig JavaScript på et andet websted er imidlertid ret bekymrende. Heldigvis er der noget, der kan gøres.
Hvad kan gøres?
Brugere har et par muligheder her. For det første skal du stoppe med at bruge Android-browseren. Den er gammel, den er usikker, og der er langt mere overbevisende muligheder på markedet lige nu. Google har frigivet Chrome til Android Endelig lancerer Google Chrome til Android (kun ICS) [Nyheder] Læs mere (skønt kun for enheder, der kører Ice Cream Sandwich og nyere), og der er endda mobile varianter af Firefox og Opera tilgængelige.
Firefox Mobile er især værd at være opmærksom på. Ud over at tilbyde en fantastisk browsingoplevelse giver det dig også mulighed for at køre applikationer til Mozillas eget mobile operativsystem, Firefox OS Top 15 Firefox OS-apps: Den ultimative liste for nye Firefox OS-brugereDer er selvfølgelig en app til det: Det er trods alt webteknologi. Mozillas mobile operativsystem Firefox OS, der i stedet for indbygget kode bruger HTML5, CSS3 og JavaScript til sine apps. Læs mere , samt installere en rigdom af fantastiske tilføjelser De 10 bedste Firefox-tilføjelser til AndroidEn af de bedste aspekter af Firefox på Android er dens add-on support. Tjek disse vigtige Firefox-tilføjelser til Android. Læs mere .
Hvis du vil være særlig paranoid, er der endda en porting af NoScript til Firefox Mobile. Det skal dog bemærkes, at de fleste websteder er stærkt afhængige af JavaScript til gengivelse af klient-sider Hvad er JavaScript, og hvordan fungerer det? [Teknologi forklaret] Læs mere , og brug af NoScript vil næsten helt sikkert ødelægge de fleste websteder. Dette forklarer måske hvorfor James Bruce beskrev det som en del af 'trifecta af ondskab AdBlock, NoScript & Ghostery - Trifecta Of EvilI løbet af de sidste par måneder er jeg blevet kontaktet af en lang række læsere, der har haft problemer med at downloade vores guider, eller hvorfor de ikke kan se login-knapperne eller kommentarerne ikke indlæses; og i... Læs mere ‘.
Endelig, hvis muligt, vil du blive opfordret til at opdatere din Android-browser til den nyeste version ud over at installere den nyeste version af Android-operativsystemet. Dette sikrer, at hvis Google frigiver en rettelse til denne fejl længere nede på linjen, er du beskyttet.
Skønt det er værd at bemærke det der er rumblings om, at dette problem potentielt kan ramme brugere af Android 4.4 KitKat. Imidlertid er der ikke fremkommet noget, der er tilstrækkeligt stort for mig til at rådgive læserne om at skifte browsere.
Et stort privatlivets fejl
Foretag ingen fejl, dette er en vigtigste smartphone sikkerhedsproblem Hvad du virkelig har brug for at vide om smartphonesikkerhed Læs mere . Ved at skifte til en anden browser bliver du imidlertid praktisk talt usårbar. Der er dog stadig en række spørgsmål om den generelle sikkerhed for Android-operativsystemet.
Vil du skifte til noget, der er lidt mere sikkert, som supersikker iOS Smartphone-sikkerhed: Kan iPhones få malware?Malware, der påvirker "tusinder" af iPhones, kan stjæle App Store-legitimationsoplysninger, men størstedelen af iOS-brugere er helt sikre - så hvad er der med iOS og useriøs software? Læs mere eller (min favorit) Blackberry 10 10 grunde til at give BlackBerry 10 en prøve i dagBlackBerry 10 har nogle temmelig uimodståelige funktioner. Her er ti grunde til, at du måske vil give den en chance. Læs mere ? Eller måske vil du forblive loyal overfor Android og installere en sikker ROM som Paranoid Android eller Omirom 5 grunde til, at du skal blinke omniROM til din Android-enhedMed en masse tilpassede ROM-muligheder derude, kan det være svært at slå sig ned på en - men du skal virkelig overveje OmniROM. Læs mere ? Eller måske er du ikke engang så bekymret.
Lad os chatte om det. Kommentarboksen er nedenfor. Jeg kan ikke vente med at høre dine tanker.
Matthew Hughes er en softwareudvikler og forfatter fra Liverpool, England. Han findes sjældent uden en kop stærk sort kaffe i hånden og forguder absolut sin Macbook Pro og hans kamera. Du kan læse hans blog på http://www.matthewhughes.co.uk og følg ham på twitter på @matthewhughes.
