Este bug do navegador android vai fazer você atualizar para kitkat
Você ainda fazer o upgrade para Android 4.4 KitKat? Aqui está algo que pode dar-lhe um pouco de encorajamento para fazer a troca: um problema sério com o navegador estoque em telefones pré-KitKat foi descoberto, e que poderia permitir que sites mal-intencionados para acessar os dados de outros sites. Parece assustador? Aqui está o que você precisa saber
Conteúdo
A questão - que foi descoberto primeiro pelo pesquisador Rafay Baloch - vê sites maliciosos ser capaz de injetar javascript arbitrário em outros quadros, o que poderia ver os cookies roubado, ou a estrutura e marcação de sites sendo diretamente interferência.
Os pesquisadores de segurança estão desesperadamente preocupado com isso, com Rapid7 - os criadores do framework de testes de segurança popular, Metasploit - descrevendo-o como um ‘pesadelo privacidade`. Curioso sobre como ele funciona, por que você deve estar preocupado, e que você pode fazer sobre isso? Leia sobre para mais.
Um princípio de segurança básica: Anulada
O princípio básico que deve evitar este ataque ocorra em primeiro lugar é chamado de política de mesma origem. Em suma, isso significa que do lado do cliente javascript em execução em um site não deve ser capaz de ser interferir com outro site.
Esta política tem sido uma base de segurança de aplicações web, desde que foi introduzido pela primeira vez em 1995 com o Netscape Navigator 2. Cada navegador web único implementou esta política, como um recurso de segurança fundamental e, como resultado, é extremamente raro ver tal uma vulnerabilidade na natureza.
Para mais informações sobre como SOP funciona, você pode querer assistir o vídeo acima. Isto foi tomado em um evento OWASP (Open Project Web App Segurança) na Alemanha, e é um dos melhores explicações sobre o protocolo que eu vi até agora.
Quando um navegador é vulnerável a um ataque SOP desvio, há muito espaço para danos. Um atacante poderia viabilizar fazer qualquer coisa, do uso da API localização introduzida com a especificação HTML5 para descobrir onde a vítima está localizado, todo o caminho para roubar cookies.
Felizmente, a maioria dos desenvolvedores de browsers tomar este tipo de ataque sério. O que torna ainda mais notável para ver um tal ataque ‘em estado selvagem`.
Como funciona o ataque
Então, nós sabemos Mesmo Polity Origin é importante. E nós sabemos que uma falha maciça de navegador Android do estoque pode potencialmente levar a atacantes contornar essa medida de segurança crucial? Mas como isso funciona?
Bem, a prova de conceito dado por Rafay Baloch parece um pouco com isto:
Então, o que temos aqui? Bem, há um iFrame. Este é um elemento HTML que é usado para permitir que sites para incorporar outra página web dentro de outra página da web. Eles não são usados tanto como eles costumavam ser, em grande parte porque eles são um pesadelo SEO. No entanto, ainda muitas vezes encontrá-los de tempos em tempos, e eles ainda são uma parte da especificação HTML, e ainda não foi substituído.10 erros comuns de SEO que pode destruir seu site [Parte I]10 erros comuns de SEO que pode destruir seu site [Parte I]consulte Mais informação
Seguindo essa é uma tag HTML representando um botão de entrada. Este contém alguns especialmente criado javascript (aviso de que arrastando ‘ u0000` ?) Que, quando clicado, envia o nome de domínio do site atual. No entanto, devido a um erro no navegador Android, acaba acessando os atributos do iFrame, e acaba de impressão ‘rhaininfosec.com` como uma caixa de alerta javascript.
No Google Chrome, Internet Explorer e Firefox, este tipo de ataque seria simplesmente erro fora. Seria (dependendo do navegador) também produzem um registro no console javascript informando que o navegador bloqueou o ataque. Exceto, por algum motivo, o navegador estoque em dispositivos pré-Android 4.4 não faz isso.
Imprimir um nome de domínio não é muito espetacular. No entanto, ganhando acesso aos cookies e execução de javascript arbitrário em outro site é bastante preocupante. Felizmente, há algo que pode ser feito.
O que pode ser feito?
Os usuários têm algumas opções aqui. Em primeiro lugar, pare de usar o estoque navegador Android. É velho, é insegura e há muito mais atraente opções no mercado agora. Google tem lançado Chrome para Android (Embora, apenas para dispositivos que executam o Ice Cream Sandwich e para cima), e há até mesmo variantes móvel do Firefox e Opera disponível.Google Chrome Finalmente lançamentos para Android (Apenas ICS) [News]Google Chrome Finalmente lançamentos para Android (Apenas ICS) [News]consulte Mais informação
Firefox Mobile, em particular, vale a pena prestar atenção a. Além de oferecer uma experiência de navegação incrível, ele também permite que você execute aplicações para o sistema operacional da Mozilla próprio móvel, o Firefox OS, bem como instalar um riqueza de add-ons impressionantes.
Se você quer ser especialmente paranóico, não há sequer uma portabilidade de NoScript para o Firefox Mobile. Embora, deve-se notar que a maioria dos sites são fortemente dependentes javascript para renderizar sutilezas do lado do cliente, e usando NoScript quase certamente irá quebrar a maioria dos sites. Este, talvez, explica por James Bruce descreveu-o como parte do ‘trio do mal‘.O que é javascript e como isso funciona? [Tecnologia Explicada]O que é javascript e como isso funciona? [Tecnologia Explicada]consulte Mais informação
Finalmente, se possível, você pode ser encorajados a atualizar seu navegador Android para a versão mais recente, além de instalar a versão mais recente do sistema operacional Android. Isso garante que deve Google liberar uma correção para esse bug ainda mais para baixo da linha, você está protegido.
Embora, é importante notar que há rumores de que esta questão poderia potencialmente atingidas usuários de Android 4.4 KitKat. No entanto, nada surgiu que seja suficientemente substancial para me aconselhar os leitores para mudar de browser.
Um erro grave de Privacidade
Não se engane, este é um grande problema de segurança de smartphones. No entanto, ao mudar para um navegador diferente, você se torna praticamente invulnerável. No entanto, uma série de questões permanecem sobre a segurança geral do sistema operacional Android.O que você realmente precisa saber sobre Smartphone SecurityO que você realmente precisa saber sobre Smartphone Securityconsulte Mais informação
você será a mudança para algo um pouco mais seguro, como iOS super-seguras ou (Meu favorito) Blackberry 10? Ou talvez você vai ficar fiel ao Android, e instalar uma ROM seguro como Paranoid Android ou Omirom? Ou talvez você não está mesmo tão preocupado.
Vamos conversar sobre isso. A caixa de comentários está abaixo. Eu não posso esperar para ouvir seus pensamentos.