Oglas

Ali želite še nadgraditi na Android 4.4 KitKat? Tukaj je nekaj, kar bi vas lahko spodbudilo k prehodu: resna težava z zalogami Odkrit je brskalnik na telefonih pred KitKat in zlonamernim spletnim mestom lahko omogoči dostop do podatkov drugih spletne strani. Zveni strašljivo? Tukaj je tisto, kar morate vedeti

Vprašanje - ki je bilo prvi odkril raziskovalec Rafay Baloch - vidi, da zlonamerna spletna mesta lahko v druge okvire vbrizgajo poljuben JavaScript, v katerem so lahko vidni ukradeni piškotki, ali pa se neposredno motijo ​​struktura in oznake spletnih strani.

To obupno skrbi raziskovalce varnosti, saj Rapid7 - ustvarjalci priljubljenega ogrodja testiranja varnosti - Metasploit - ki ga opisujejo kot "nočno moro zasebnosti". Radovedno, kako to deluje, zakaj bi se morali skrbeti in kaj lahko storite glede tega? Preberite več.

Osnovno varnostno načelo: Obide

Osnovno načelo, ki bi moralo preprečiti, da bi se ta napad prvič zgodil, se imenuje politika istega izvora. Skratka, to pomeni, da JavaScript na strani odjemalca, ki deluje na enem spletnem mestu, ne bi smel posegati v drugo spletno mesto.

instagram viewer

Ta politika je bila osnova varnosti spletnih aplikacij, odkar je bila leta 1995 prvič predstavljena z Netscape Navigator 2. Vsak posamezen spletni brskalnik je to politiko uveljavil kot temeljno varnostno funkcijo, zato je neverjetno redko takšno ranljivost videti v naravi.

Če želite več informacij o delovanju SOP-a, si oglejte zgornji video. To je bilo posneto na dogodku OWASP (Open Web App Security Project) v Nemčiji in je ena najboljših razlag protokola, ki sem ga videl do zdaj.

Ko je brskalnik ranljiv za napad SOP bypass, je veliko prostora za škodo. Napadalec bi lahko storil karkoli, od uporabe API-ja za lokacijo, ki je bil uveden s specifikacijo HTML5, da bi ugotovil, kje je žrtev, vse do kraje piškotkov.

Na srečo večina razvijalcev brskalnikov takšen napad jemlje resno. Zaradi česar je takšen napad videti "v naravi".

Kako deluje napad

Torej, vemo Politika istega porekla je pomembna. In vemo, da lahko množična napaka brskalnika Android s potencialnimi napadi zaobide ta ključni varnostni ukrep? Toda kako deluje?

No, dokaz koncepta, ki ga je podal Rafay Baloch, je videti nekako takole:
[NI VEČ NA VOLJO]
Torej, kaj imamo tukaj? No, obstaja iFrame. To je element HTML, ki se omogoča, da spletnim mestom omogoči vdelavo druge spletne strani na drugo spletno stran. Niso jih uporabili toliko kot nekoč, predvsem zato, ker so SEO nočna mora 10 pogostih napak v SEO, ki lahko uničijo vaše spletno mesto [del I] Preberi več . Vendar jih občasno še vedno najdete in so še vedno del specifikacije HTML in še niso opuščeni.

Sledi, da je a HTML oznaka, ki predstavlja gumb za vnos. Ta vsebuje nekaj posebej izdelanega JavaScript-a (opazite, da sledi "\ u0000"?), Ki s klikom prikaže ime domene trenutnega spletnega mesta. Vendar pa zaradi napake v brskalniku Android konča dostop do atributov iFrame in natisne 'rhaininfosec.com' kot opozorilno polje JavaScript.

android-html-napada

V brskalnikih Google Chrome, Internet Explorerju in Firefoxu se ta vrsta napada preprosto izpusti. Prav tako (odvisno od brskalnika) ustvari dnevnik v konzoli JavaScript, ki sporoča, da je brskalnik napad blokiral. Razen iz nekega razloga brskalnik zalog na napravah pred Androidom 4.4 tega ne počne.

android-html-console

Tiskanje imena domene ni grozljivo. Vendar pa je dostop do piškotkov in izvajanje poljubnega JavaScript na drugem spletnem mestu precej zaskrbljujoč. K sreči je mogoče nekaj storiti.

Kaj je mogoče storiti?

Uporabniki imajo tukaj nekaj možnosti. Najprej prenehajte uporabljati brskalnik Android Android. Stara je, je negotova in trenutno je na trgu veliko bolj prepričljivih možnosti. Google ima izdal Chrome za Android Google Chrome končno predstavljen za Android (samo za ICS) [Novice] Preberi več (čeprav samo za naprave, ki poganjajo Ice Cream Sandwich in novejše), na voljo pa so celo mobilne različice Firefox in Opera.

Zlasti je treba biti pozoren na Firefox Mobile. Poleg tega, da ponuja neverjetno izkušnjo brskanja, vam omogoča tudi tek aplikacije za Mozillin lastni mobilni operacijski sistem, Firefox OS Prvih 15 aplikacij za Firefox OS: Ultimativni seznam za nove uporabnike OS FirefoxSeveda obstaja aplikacija za to: Konec koncev gre za spletno tehnologijo. Mozillin operacijski sistem Firefox OS, ki namesto izvorne kode za svoje aplikacije uporablja HTML5, CSS3 in JavaScript. Preberi več , kot tudi namestite bogastvo odličnih dodatkov 10 najboljših dodatkov Firefox za AndroidEden najboljših vidikov Firefoxa v Androidu je njegova dodatna podpora. Oglejte si te bistvene dodatke za Firefox za Android. Preberi več .

Če želite biti še posebej paranoični, je na voljo celo prenos NoScript za Firefox Mobile. Čeprav je treba vedeti, da je večina spletnih strani močno odvisna JavaScript za upodabljanje lepot na strani stranke Kaj je JavaScript in kako deluje? [Pojasnjena tehnologija] Preberi več in uporaba NoScript bo skoraj zagotovo uničila večino spletnih mest. Morda to pojasnjuje, zakaj ga je James Bruce opisal kot del "trifekta zla AdBlock, NoScript & Ghostery - Trifecta zlaV zadnjih nekaj mesecih me je kontaktiralo lepo število bralcev, ki so imeli težave pri prenosu naših vodnikov ali zakaj ne vidijo, da se prijavni gumbi ali komentarji ne nalagajo; in v ... Preberi več ‘.

Na koncu vas spodbudi, da svoj brskalnik Android posodobite na najnovejšo različico, poleg namestitve najnovejše različice operacijskega sistema Android. To zagotavlja, da boste v primeru, da Google sprosti popravek za to hrošč še naprej po liniji, zaščiten.

Čeprav je to vredno omeniti pojavljajo se ropoti, ki bi lahko to težavo prizadeli uporabnike Android 4.4 KitKat. Vendar se ni pojavilo nič, kar bi bilo dovolj, da bi bralcem svetoval, naj zamenjajo brskalnike.

Velika napaka glede zasebnosti

Ne bo pomote, to je a večje varnostno vprašanje pametnih telefonov Kaj resnično morate vedeti o varnosti pametnih telefonov Preberi več . Vendar s prehodom na drug brskalnik postanete praktično neranljivi. Vendar pa ostajajo številna vprašanja o splošni varnosti operacijskega sistema Android.

Ali boste prešli na nekaj bolj varnega, kot je super varen iOS Varnost pametnih telefonov: Ali lahko iPhone dobi zlonamerno programsko opremo?Zlonamerna programska oprema, ki vpliva na "tisoče" iPhonov, lahko ukrade poverilnice App Store, vendar je večina uporabnikov iOS-a popolnoma varnih - torej kaj je s programsko opremo iOS in lopov? Preberi več ali (moja najljubša) Blackberry 10 10 razlogov za BlackBerry 10 A Poskusite danesBlackBerry 10 ima nekaj precej neustavljivih lastnosti. Tukaj je deset razlogov, zakaj bi morda želeli iti. Preberi več ? Ali pa boste morda ostali zvesti Androidu in nameščali varen ROM, kot je Paranoid Android ali Omirom 5 razlogov, zakaj bi morali OmniROM bliskati na napravo AndroidZ kopico možnosti za ROM po meri je težko rešiti samo enega - vendar bi morali resnično upoštevati OmniROM. Preberi več ? Ali pa vas sploh ne skrbi.

Klepetajmo o tem. Spodaj je polje za komentarje. Komaj čakam, da zaslišim vaše misli.

Matthew Hughes je razvijalec programske opreme in pisatelj iz Liverpoola v Angliji. Redko ga najdemo brez skodelice močne črne kave v roki in absolutno obožuje svoj Macbook Pro in svoj fotoaparat. Njegov blog lahko preberete na http://www.matthewhughes.co.uk in mu sledite na twitterju na @matthewhughes.