Είστε ακόμα να κάνετε αναβάθμιση σε Android 4.4 KitKat; Εδώ είναι κάτι που μπορεί να σας δώσει κάποιες ενθαρρύνσεις για να κάνετε τον διακόπτη: ένα σοβαρό πρόβλημα με το πρόγραμμα περιήγησης χρηστών στα κινητά πριν από το KitKat έχει ανακαλυφθεί και θα μπορούσε να επιτρέψει στους κακόβουλους ιστότοπους να έχουν πρόσβαση στα δεδομένα άλλων ιστοσελίδων. Ακούγεται τρομακτικό; Εδώ είναι τι πρέπει να ξέρετε
Το ζήτημα - το οποίο ανακαλύφθηκε για πρώτη φορά από τον ερευνητή Rafay Baloch - θεωρεί ότι οι κακόβουλες ιστοσελίδες είναι σε θέση να εισάγουν αυθαίρετα JavaScript σε άλλα πλαίσια, τα οποία θα μπορούσαν να κλέψουν τα cookies ή να παρεμποδιστούν άμεσα η δομή και η σήμανση των ιστοτόπων.
Οι ερευνητές της ασφάλειας ανησυχούν απεγνωσμένα γι 'αυτό, με το Rapid7 - τους κατασκευαστές του δημοφιλούς πλαισίου δοκιμών ασφάλειας, Metasploit - το χαρακτηρίζει ως «εφιάλτη της ιδιωτικής ζωής». Περίεργος για το πώς λειτουργεί, γιατί πρέπει να ανησυχείτε και τι μπορείτε να κάνετε γι 'αυτό; Διαβάστε παρακάτω για περισσότερα.
Μια αρχή βασικής ασφάλειας: Bypassed
Η βασική αρχή που θα έπρεπε να εμποδίσει αυτή την επίθεση να γίνει αρχικά είναι η ίδια Πολιτική Προέλευσης. Εν ολίγοις, αυτό σημαίνει ότι το JavaScript από την πλευρά του πελάτη που τρέχει σε έναν ιστότοπο δεν θα πρέπει να μπορεί να παρεμβαίνει σε έναν άλλο ιστότοπο.
Αυτή η πολιτική αποτελεί το θεμέλιο της ασφάλειας των εφαρμογών web, από τότε που πρωτοεμφανίστηκε το 1995 με το Netscape Navigator 2. Κάθε web browser έχει εφαρμόσει αυτήν την πολιτική, ως βασικό χαρακτηριστικό ασφαλείας, και ως εκ τούτου είναι εξαιρετικά σπάνιο να βλέπεις μια ευάλωτη κατάσταση στην άγρια φύση.
Για περισσότερες πληροφορίες σχετικά με τον τρόπο λειτουργίας του SOP, μπορείτε να παρακολουθήσετε το παραπάνω βίντεο. Αυτό έγινε σε ένα γεγονός OWASP (Open Web App Security Project) στη Γερμανία και αποτελεί μία από τις καλύτερες εξηγήσεις του πρωτοκόλλου που έχω δει μέχρι στιγμής.
Όταν ένα πρόγραμμα περιήγησης είναι ευάλωτο σε επίθεση παράκαμψης SOP, υπάρχει μεγάλο περιθώριο ζημιών. Ένας επιτιθέμενος θα μπορούσε να κάνει οτιδήποτε, από τη χρήση του API τοποθεσίας που εισήχθη με το spec HTML5 για να μάθετε πού εντοπίζεται το θύμα, όλος ο τρόπος να κλέβετε τα cookies.
Ευτυχώς, οι περισσότεροι προγραμματιστές του προγράμματος περιήγησης λαμβάνουν αυτό το είδος επίθεσης σοβαρά. Αυτό καθιστά ακόμη πιο αξιοσημείωτο το να βλέπουμε μια τέτοια επίθεση «στη φύση».
Πώς λειτουργεί η επίθεση
Γνωρίζουμε λοιπόν ότι η ίδια Πολιτική Προέλευσης είναι σημαντική. Και γνωρίζουμε ότι μια τεράστια αποτυχία του φυλλομετρητή Android μπορεί να οδηγήσει σε επιθέσεις που παρακάμπτουν αυτό το κρίσιμο μέτρο ασφάλειας; Αλλά πώς λειτουργεί;
Λοιπόν, η απόδειξη της ιδέας που δίνεται από τον Rafay Baloch φαίνεται λίγο σαν αυτό:
Λοιπόν, τι έχουμε εδώ; Λοιπόν, υπάρχει ένα iFrame. Αυτό είναι ένα στοιχείο HTML που χρησιμοποιείται για να επιτρέπει στους ιστότοπους να ενσωματώνουν μια άλλη ιστοσελίδα σε μια άλλη ιστοσελίδα. Δεν χρησιμοποιούνται τόσο πολύ όσο ήταν, κυρίως επειδή είναι ένας εφιάλτης SEO 10 κοινά λάθη SEO που μπορούν να καταστρέψουν τον ιστοχώρο σας [Μέρος Ι] 10 κοινά λάθη SEO που μπορούν να καταστρέψουν την ιστοσελίδα σας [Μέρος Ι] Διαβάστε περισσότερα. Ωστόσο, τις βρίσκετε συχνά από καιρό σε καιρό, και εξακολουθούν να αποτελούν μέρος της προδιαγραφής HTML και δεν έχουν ακόμη καταργηθεί.
Ακολουθεί μια ετικέτα HTML που αντιπροσωπεύει ένα κουμπί εισαγωγής. Αυτό περιέχει κάποιο ειδικά σχεδιασμένο JavaScript (παρατηρήστε ότι το τελευταίο '\ u0000';) που, όταν κάνετε κλικ, εξάγει το όνομα τομέα του τρέχοντος ιστότοπου. Ωστόσο, λόγω σφάλματος στο πρόγραμμα περιήγησης Android, καταλήγει στην πρόσβαση στα χαρακτηριστικά του iFrame και καταλήγει στην εκτύπωση του 'rhaininfosec.com' ως πλαίσιο ειδοποίησης JavaScript.
Στο Google Chrome, τον Internet Explorer και τον Firefox, αυτός ο τύπος επίθεσης απλώς θα σφάλλει. Θα είχε (ανάλογα με το πρόγραμμα περιήγησης) επίσης να δημιουργήσει ένα αρχείο καταγραφής στην κονσόλα JavaScript, ενημερώνοντας ότι το πρόγραμμα περιήγησης έχει μπλοκάρει την επίθεση. Εκτός, για κάποιο λόγο, ο φυλλομετρητής αποθεμάτων σε συσκευές προ-Android 4.4 δεν το κάνει αυτό.
Η εκτύπωση ενός ονόματος τομέα δεν είναι εξαιρετικά θεαματική. Ωστόσο, η απόκτηση πρόσβασης σε cookies και η εκτέλεση αυθαίρετου JavaScript σε έναν άλλο ιστότοπο είναι μάλλον ανησυχητική. Ευτυχώς, υπάρχει κάτι που μπορεί να γίνει.
Τί μπορεί να γίνει?
Οι χρήστες έχουν μερικές επιλογές εδώ. Πρώτον, σταματήστε να χρησιμοποιείτε τον φυλλομετρητή Android. Είναι παλιό, είναι ανασφαλές και υπάρχουν πολύ πιο συναρπαστικές επιλογές στην αγορά αυτή τη στιγμή. Η Google έχει κυκλοφορήσει το Chrome για Android Το Google Chrome τελειώνει τελικά για το Android (μόνο για το ICS) [Νέα] Το Google Chrome τελικά ξεκινάει για το Android (μόνο για το ICS) [News] Διαβάστε περισσότερα (αν και μόνο για συσκευές που χρησιμοποιούν Ice Cream Sandwich και επάνω) ακόμη και κινητές παραλλαγές του Firefox και Opera διαθέσιμες.
Το Firefox Mobile αξίζει ιδιαίτερα την προσοχή. Εκτός από την προσφορά εκπληκτικής εμπειρίας περιήγησης, σας επιτρέπει επίσης να εκτελείτε εφαρμογές για το κινητό λειτουργικό σύστημα του Mozilla, το Firefox OS Top 15 Firefox OS Apps: Η τελευταία λίστα για τους νέους χρήστες του Firefox OS Top 15 Firefox OS Apps: The Ultimate List for New Χρήστες του Firefox OS Φυσικά υπάρχει μια εφαρμογή για αυτό: Είναι τεχνολογία ιστού μετά από όλα. Το κινητό λειτουργικό σύστημα του Mozilla Firefox OS, το οποίο, αντί του εγγενούς κώδικα, χρησιμοποιεί HTML5, CSS3 και JavaScript για τις εφαρμογές του. Διαβάστε περισσότερα, καθώς και να εγκαταστήσετε μια πληθώρα φοβερών add-ons Unmissable Addons για τον Firefox στη συσκευή σας Android Unmissable Addons για τον Firefox στη συσκευή σας Android Το Firefox για Android έχει ένα τέχνασμα επάνω στο μανίκι του: Add-ons. Ακριβώς όπως ο Firefox προσφέρει ένα ισχυρότερο σύστημα επέκτασης από το Chrome στην επιφάνεια εργασίας, χτυπά το Chrome για Android υποστηρίζοντας επεκτάσεις. Μπορείτε να εγκαταστήσετε ... Διαβάστε περισσότερα.
Εάν θέλετε να είστε ιδιαίτερα παρανοϊκοί, υπάρχει ακόμη και μια θύρα του NoScript για το Firefox Mobile. Παρά το γεγονός ότι, θα πρέπει να σημειωθεί ότι οι περισσότεροι ιστοχώροι εξαρτώνται σε μεγάλο βαθμό από το JavaScript για την απόδοση λεπτότητας πελάτη Τι είναι το JavaScript και πώς λειτουργεί; [Technology Explained] Τι είναι το JavaScript και πώς λειτουργεί; [Technology Explained] Διαβάστε περισσότερα και η χρήση του NoScript σίγουρα θα σπάσει τις περισσότερες ιστοσελίδες. Αυτό ίσως εξηγεί γιατί ο Τζέιμς Μπρους το περιέγραψε ως μέρος του «trifecta του κακού AdBlock, NoScript & Ghostery - Το Trifecta Of Evil AdBlock, NoScript & Ghostery - Το Trifecta Of Evil Τους τελευταίους μήνες, ήρθα σε επαφή με ένας καλός αριθμός αναγνωστών που είχαν προβλήματα κατά τη λήψη των οδηγών μας ή γιατί δεν μπορούν να δουν τα κουμπιά σύνδεσης ή τα σχόλια που δεν φορτώνουν. και στο ... Διαβάστε περισσότερα '.
Τέλος, αν είναι δυνατόν, θα πρέπει να ενθαρρύνεστε να ενημερώσετε το πρόγραμμα περιήγησης Android στην πιο πρόσφατη έκδοση, εκτός από την εγκατάσταση της τελευταίας έκδοσης του λειτουργικού συστήματος Android. Αυτό διασφαλίζει ότι η Google θα πρέπει να απελευθερώσει μια επιδιόρθωση για αυτό το σφάλμα από τη γραμμή, προστατεύεστε.
Παρόλο που αξίζει να σημειωθεί ότι υπάρχουν κουβέντες που το πρόβλημα αυτό θα μπορούσε να χτυπήσει τους χρήστες του Android 4.4 KitKat. Ωστόσο, δεν προέκυψε τίποτα που να είναι αρκετά σημαντικό για μένα να συμβουλεύω τους αναγνώστες να αλλάζουν προγράμματα περιήγησης.
Ένα σημαντικό σφάλμα απορρήτου
Μην κάνετε λάθος, αυτό είναι ένα σημαντικό ζήτημα ασφάλειας smartphone Τι πραγματικά χρειάζεται να ξέρετε για την ασφάλεια Smartphone Τι πραγματικά χρειάζεται να ξέρετε για την ασφάλεια Smartphone Διαβάστε περισσότερα. Ωστόσο, μεταβαίνοντας σε ένα διαφορετικό πρόγραμμα περιήγησης, γίνεστε σχεδόν άτρωτοι. Ωστόσο, εξακολουθούν να υπάρχουν ορισμένες ερωτήσεις σχετικά με τη συνολική ασφάλεια του λειτουργικού συστήματος Android.
Θα μεταβείτε σε κάτι λίγο πιο ασφαλή, όπως το σούπερ-ασφαλές iOS Smartphone Ασφάλεια: Μπορεί iPhones Get Malware; Ασφάλεια Smartphone: Μπορούν τα iPhones να αποκτήσουν κακόβουλο λογισμικό; Το κακόβουλο λογισμικό που επηρεάζει "χιλιάδες" iPhones μπορεί να κλέψει τα διαπιστευτήρια App Store, αλλά η πλειοψηφία των χρηστών iOS είναι απόλυτα ασφαλής - έτσι τι είναι η συμφωνία με το iOS και το λογισμικό απατεώνων; Διαβάστε περισσότερα ή (το αγαπημένο μου) Blackberry 10 10 Λόγοι για να δώσετε το BlackBerry 10 A Δοκιμάστε σήμερα 10 λόγοι για να δώσετε το BlackBerry 10 Μια Δοκιμή Σήμερα Το BlackBerry 10 έχει κάποια αρκετά ακαταμάχητα χαρακτηριστικά. Εδώ είναι δέκα λόγοι για τους οποίους μπορεί να θέλετε να το πάρετε. Διαβάστε περισσότερα ? Ή ίσως θα μείνετε πιστοί στο Android και θα εγκαταστήσετε ένα ασφαλές ROM όπως Paranoid Android ή Omirom 5 λόγοι για τους οποίους πρέπει να κάνετε λάμψη OmniROM στη συσκευή σας Android 5 λόγοι για τους οποίους πρέπει να κάνετε λάμψη OmniROM στη συσκευή σας Android Με μια δέσμη προσαρμοσμένων επιλογών ROM εκεί, μπορεί να είναι δύσκολο να εγκατασταθεί σε ένα μόνο - αλλά θα πρέπει πραγματικά να εξετάσετε το OmniROM. Διαβάστε περισσότερα ? Ή ίσως δεν είναι καν ότι ανησυχείτε.
Ας συζητήσουμε για αυτό. Το πλαίσιο των σχολίων είναι παρακάτω. Δεν μπορώ να περιμένω να ακούσω τις σκέψεις σας.
