Реклама

Да ли тек треба да надоградите на Андроид 4.4 КитКат? Ево нечега што би вас могло охрабрити за промену: озбиљан проблем са залихама Откривен је прегледач на телефонима пре КитКат и он може дозволити злонамерним веб локацијама да приступају подацима других веб странице. Звучи застрашујуће? Ево шта треба да знате

Питање - које је било први открио истраживач Рафаи Балоцх - види да су злонамерне веб локације у стању да убаце произвољни ЈаваСцрипт у друге оквире, на којима се могу видети украдени колачићи или директно ометати структуру и маркирање веб локација.

Истраживачи безбедности очајнички су забринути због тога, Рапид7 - творци популарног оквира безбедносног тестирања, Метасплоит - описујући то као "ноћну мору о приватности". Интересантно како то функционише, зашто би се требало бринути и шта можете учинити са тим? Прочитајте за више.

Основни принцип сигурности: Заобиђен

Основни принцип који би требало да спречи да се напад догоди пре свега назива се иста политика порекла. Укратко, то значи да ЈаваСцрипт на страни клијента који се изводи на једној веб локацији не би смео да се меша у другу веб локацију.

instagram viewer

Ова политика је основа сигурности веб апликација, још од када је први пут представљена 1995. године са Нетсцапе Навигатор 2. Сваки појединачни веб претраживач је имплементирао ову политику, као основну безбедносну карактеристику, и као резултат тога је невероватно ретко видети такву рањивост у дивљини.

Да бисте сазнали више о начину функционисања СОП-а, погледајте горе наведени видео. Ово је снимљено на догађају ОВАСП (Опен Веб Апп Сецурити Пројецт) у Немачкој и једно је од најбољих објашњења протокола који сам до сада видео.

Када је претраживач рањив за СОП бипасс напад, постоји много простора за оштећења. Нападач може извести било шта, од употребе АПИ-ја локације који је уведен са спецификацијом ХТМЛ5 да открије где се жртва налази, па све до крађе колачића.

Срећом, већина програмера прегледача озбиљно схвата ову врсту напада. Због чега је још значајније видети такав напад „у дивљини“.

Како функционира напад

Знамо Политика истог порекла је важна. А знамо да масовно неуспех Андроид прегледача може потенцијално довести до нападача који заобилазе ову кључну меру безбедности? Али како то делује?

Па, доказ концепта који је дао Рафаи Балоцх изгледа помало овако:
[НИЈЕ ДОСТУПАН]
Па, шта имамо овде? Па, постоји иФраме. Ово је ХТМЛ елемент који се користи како би се веб локацијама омогућило да уграде другу веб страницу у другу веб страницу. Не користе се толико колико су некада били, углавном зато што су СЕО ноћна мора 10 најчешћих грешака у СЕО које могу уништити вашу веб страницу [део И] Опширније . Међутим, и даље их повремено пронађете и још увек су део ХТМЛ спецификације и још нису застарели.

После тога је а ХТМЛ ознака која представља дугме за унос. Садржи неки посебно креиран ЈаваСцрипт (приметите да слиједи „\ у0000“?) Који, када се кликне, приказује име домене тренутне веб локације. Међутим, због грешке у Андроид претраживачу, приступи атрибутима иФраме-а и завршава штампање „рхаининфосец.цом“ као ЈаваСцрипт упозорење.

андроид-хтмл-напад

На Гоогле Цхроме-у, Интернет Екплорер-у и Фирефок-у, ова врста напада ће се једноставно искључити. Такође (у зависности од прегледача) такође производи записник на ЈаваСцрипт конзоли који обавештава да је прегледач блокирао напад. Осим, из неког разлога, претраживач акција на уређајима пре Андроид-а 4.4 то не чини.

андроид-хтмл-конзоле

Штампање имена домена није страшно спектакуларно. Међутим, добијање приступа колачићима и извршавање произвољног ЈаваСцрипта на другом веб месту је прилично забрињавајуће. Срећом, постоји нешто што се може учинити.

Шта може да се уради?

Овде корисници имају неколико опција. Прво, престаните са коришћењем Андроид прегледача. Стара је, несигурна је и на тржишту је далеко више убедљивих опција. Гоогле је издао Цхроме за Андроид Гоогле Цхроме коначно лансиран за Андроид (само за ИЦС) [Новости] Опширније (мада, само за уређаје који покрећу Сендвич од сладоледа и новије верзије), а постоје чак и мобилне верзије Фирефока и Опере.

На Фирефок Мобиле посебно вриједи обратити пажњу. Поред тога што нуди невероватно искуство прегледавања, омогућава вам и трчање апликације за Мозиллин властити мобилни оперативни систем, Фирефок ОС Топ 15 Фирефок ОС апликација: Ултимате листа за нове кориснике Фирефок ОС-аНаравно, за то постоји и апликација: На крају крајева, то је веб технологија. Мозилла-ин мобилни оперативни систем Фирефок ОС који уместо матичног кода користи ХТМЛ5, ЦСС3 и ЈаваСцрипт за своје апликације. Опширније , као и инсталирати богатство феноменалних додатака 10 најбољих додатака Фирефок за АндроидЈедан од најбољих аспеката Фирефока на Андроиду је његова додатна подршка. Погледајте ове основне Фирефок додатке за Андроид. Опширније .

Ако желите бити посебно параноични, ту је чак и пренос НоСцрипт-а за Фирефок Мобиле. Мада, треба напоменути да је већина веб локација увелико зависна ЈаваСцрипт за приказ лепота на страни клијента Шта је ЈаваСцрипт и како то функционише? [Објашњена технологија] Опширније и коришћење НоСцрипт готово сигурно ће сломити већину веб локација. Ово, можда, објашњава зашто је Џејмс Бруце описао то као део „трифецта зла АдБлоцк, НоСцрипт & Гхостери - Трифецта злаУ последњих неколико месеци контактирао ме је добар број читалаца који су имали проблема са преузимањем наших водича или зашто не могу да виде да се тастери за пријаву или коментари не учитавају; а у... Опширније ‘.

Коначно, ако је могуће, требало би вас охрабрити да ажурирате Андроид прегледач на најновију верзију, поред инсталирања најновије верзије Андроид оперативног система. Ово осигурава да ће Гоогле, ако објави исправку ове бубе и даље низ линију, бити заштићен.

Мада, то је вредно напоменути постоје трачеви да би овај проблем потенцијално могао погодити кориснике Андроид-а 4.4 КитКат. Међутим, није се створило ништа што би довољно било да бих саветовао читаоце да замењују прегледаче.

Главна грешка у заштити приватности

Не грешите, ово је главни проблем безбедности смартфона Шта заиста морате да знате о безбедности паметних телефона Опширније . Међутим, преласком на други претраживач постајете практично нерањиви. Међутим, остаје низ питања о укупној сигурности Андроид оперативног система.

Хоћете ли прећи на нешто мало сигурније, попут супер сигуран иОС Сигурност паметних телефона: Могу ли иПхоне уређаји добити злонамјерни софтвер?Злонамјерни софтвер који утјече на „хиљаде“ иПхона може украсти вјеродајнице Апп Сторе-а, али већина корисника иОС-а је потпуно сигурна - па шта је с иОС-ом и рогуе софтвером? Опширније или (мој омиљени) Блацкберри 10 10 разлога за БлацкБерри 10 А пробајте данасБлацкБерри 10 има прилично неодољиве карактеристике. Ево десет разлога због којих бисте то можда желели да покренете. Опширније ? Или ћете можда остати верни Андроиду и инсталирати сигуран РОМ попут Параноид Андроид или Омиром 5 разлога зашто бисте требали да покренете ОмниРОМ на свој Андроид уређајУз гомилу прилагођених опција РОМ-а, тешко је подмирити се на само једну - али стварно бисте требали размотрити ОмниРОМ. Опширније ? Или можда нисте ни забринути.

Хајде да разговарамо о томе. Поље за коментаре је испод. Једва чекам да чујем ваше мисли.

Маттхев Хугхес је програмер и писац софтвера из Ливерпула, Енглеска. Ретко се нађе без шољице јаке црне кафе у руци и апсолутно обожава свој Мацбоок Про и свој фотоапарат. Његов блог можете прочитати на http://www.matthewhughes.co.uk и пратите га на твиттеру на @маттхевхугхес.