Διαφήμιση

Έχετε ακόμη αναβαθμίσει σε Android 4.4 KitKat; Εδώ είναι κάτι που μπορεί να σας δώσει λίγη ενθάρρυνση για να κάνετε τη μετάβαση: ένα σοβαρό πρόβλημα με το απόθεμα έχει βρεθεί πρόγραμμα περιήγησης σε τηλέφωνα πριν από το KitKat και θα μπορούσε να επιτρέψει σε κακόβουλους ιστότοπους να έχουν πρόσβαση σε δεδομένα άλλων ιστοσελίδες. Ακούγεται τρομακτικό; Εδώ πρέπει να γνωρίζετε

Το ζήτημα - το οποίο ήταν ανακαλύφθηκε για πρώτη φορά από τον ερευνητή Rafay Baloch - βλέπει κακόβουλους ιστότοπους να είναι σε θέση να εισάγουν αυθαίρετη JavaScript σε άλλα πλαίσια, τα οποία θα μπορούσαν να δουν τα cookie κλεμμένα ή τη δομή και τη σήμανση των ιστότοπων με άμεση παρέμβαση.

Οι ερευνητές ασφαλείας ανησυχούν απεγνωσμένα από αυτό, με το Rapid7 - τους κατασκευαστές του δημοφιλούς πλαισίου δοκιμών ασφαλείας, Metasploit - το περιγράφει ως «εφιάλτη απορρήτου». Είστε περίεργοι για το πώς λειτουργεί, γιατί πρέπει να ανησυχείτε και τι μπορείτε να κάνετε γι 'αυτό; Διαβάστε παρακάτω για περισσότερα.

Μια βασική αρχή ασφάλειας: Παράκαμψη

instagram viewer

Η βασική αρχή που πρέπει να αποτρέψει την εμφάνιση αυτής της επίθεσης αρχικά ονομάζεται πολιτική προέλευσης ίδιας Με λίγα λόγια, αυτό σημαίνει ότι το JavaScript από την πλευρά του πελάτη που εκτελείται σε έναν ιστότοπο δεν θα πρέπει να μπορεί να παρεμβαίνει σε έναν άλλο ιστότοπο.

Αυτή η πολιτική υπήρξε το θεμέλιο της ασφάλειας εφαρμογών ιστού, από τότε που παρουσιάστηκε για πρώτη φορά το 1995 με το Netscape Navigator 2. Κάθε πρόγραμμα περιήγησης ιστού έχει εφαρμόσει αυτήν την πολιτική, ως θεμελιώδες χαρακτηριστικό ασφαλείας και, ως εκ τούτου, είναι εξαιρετικά σπάνιο να βλέπουμε μια τέτοια ευπάθεια στην άγρια ​​φύση.

Για περισσότερες πληροφορίες σχετικά με τον τρόπο λειτουργίας του SOP, ίσως θελήσετε να παρακολουθήσετε το παραπάνω βίντεο. Αυτό λήφθηκε σε μια εκδήλωση OWASP (Open Web App Security Project) στη Γερμανία και είναι μια από τις καλύτερες εξηγήσεις του πρωτοκόλλου που έχω δει μέχρι τώρα.

Όταν ένα πρόγραμμα περιήγησης είναι ευάλωτο σε επίθεση παράκαμψης SOP, υπάρχει πολύς χώρος για ζημιές. Ένας εισβολέας θα μπορούσε να κάνει οτιδήποτε, από τη χρήση του API τοποθεσίας που εισήχθη με τις προδιαγραφές HTML5 για να μάθει πού βρίσκεται το θύμα, μέχρι την κλοπή cookie.

Ευτυχώς, οι περισσότεροι προγραμματιστές προγράμματος περιήγησης αντιμετωπίζουν σοβαρά αυτό το είδος επίθεσης. Αυτό το καθιστά ακόμη πιο αξιοσημείωτο να βλέπεις μια τέτοια επίθεση «στη φύση».

Πώς λειτουργεί η επίθεση

Γνωρίζουμε λοιπόν Η ίδια πολιτική προέλευσης είναι σημαντική. Και γνωρίζουμε ότι μια μαζική αποτυχία του αποθέματος προγράμματος περιήγησης Android μπορεί δυνητικά να οδηγήσει σε εισβολείς που παρακάμπτουν αυτό το κρίσιμο μέτρο ασφαλείας; Αλλά πώς λειτουργεί;

Λοιπόν, η απόδειξη της ιδέας που έδωσε ο Rafay Baloch μοιάζει κάπως έτσι:
[ΔΕΝ ΕΙΝΑΙ ΠΛΕΟΝ ΔΙΑΘΕΣΙΜΟ]
Λοιπόν, τι έχουμε εδώ; Λοιπόν, υπάρχει ένα iFrame. Αυτό είναι ένα στοιχείο HTML που χρησιμοποιείται για να επιτρέπει στους ιστότοπους να ενσωματώνουν μια άλλη ιστοσελίδα σε μια άλλη ιστοσελίδα. Δεν χρησιμοποιούνται τόσο πολύ όσο ήταν, κυρίως επειδή είναι ένας εφιάλτης SEO 10 κοινά λάθη SEO που μπορούν να καταστρέψουν τον ιστότοπό σας [Μέρος I] Διαβάστε περισσότερα . Ωστόσο, τα βρίσκετε συχνά από καιρό σε καιρό και εξακολουθούν να αποτελούν μέρος της προδιαγραφής HTML και δεν έχουν καταργηθεί ακόμη.

Μετά από αυτό είναι ένα Η ετικέτα HTML αντιπροσωπεύει ένα κουμπί εισαγωγής. Αυτό περιέχει κάποια ειδικά κατασκευασμένη JavaScript (παρατηρήστε ότι ακολουθεί το «\ u0000»;) που, όταν κάνετε κλικ, εξάγει το όνομα τομέα του τρέχοντος ιστότοπου. Ωστόσο, λόγω σφάλματος στο πρόγραμμα περιήγησης Android, καταλήγει να έχει πρόσβαση στα χαρακτηριστικά του iFrame και καταλήγει να εκτυπώνει το «rhaininfosec.com» ως πλαίσιο ειδοποίησης JavaScript.

android-html-επίθεση

Στο Google Chrome, τον Internet Explorer και τον Firefox, αυτός ο τύπος επίθεσης απλώς θα έκανε λάθος. Θα (επίσης, ανάλογα με το πρόγραμμα περιήγησης) θα παράγει ένα αρχείο καταγραφής στην κονσόλα JavaScript που θα ενημερώνει ότι το πρόγραμμα περιήγησης αποκλείει την επίθεση. Εκτός, για κάποιο λόγο, το πρόγραμμα περιήγησης αποθεμάτων σε συσκευές προ-Android 4.4 δεν το κάνει.

android-html-κονσόλα

Η εκτύπωση ενός ονόματος τομέα δεν είναι εξαιρετικά θεαματική. Ωστόσο, η απόκτηση πρόσβασης σε cookie και η εκτέλεση αυθαίρετης JavaScript σε άλλον ιστότοπο είναι μάλλον ανησυχητική. Ευτυχώς, υπάρχει κάτι που μπορεί να γίνει.

Τί μπορεί να γίνει?

Οι χρήστες έχουν μερικές επιλογές εδώ. Αρχικά, σταματήστε να χρησιμοποιείτε το πρόγραμμα περιήγησης Android. Είναι παλιό, είναι ανασφαλές και υπάρχουν πολύ πιο συναρπαστικές επιλογές στην αγορά αυτή τη στιγμή. Η Google έχει κυκλοφόρησε το Chrome για Android Το Google Chrome κυκλοφόρησε τελικά για Android (μόνο ICS) [Ειδήσεις] Διαβάστε περισσότερα (αν και, μόνο για συσκευές που εκτελούν Ice Cream Sandwich και νεότερες εκδόσεις), και υπάρχουν ακόμη διαθέσιμες παραλλαγές για κινητές συσκευές Firefox και Opera.

Το Firefox Mobile ειδικότερα αξίζει να προσέξετε. Εκτός από την εκπληκτική εμπειρία περιήγησης, σας επιτρέπει επίσης να τρέχετε εφαρμογές για το λειτουργικό σύστημα κινητών τηλεφώνων της Mozilla, το Firefox OS Κορυφαίες 15 εφαρμογές Firefox OS: Η απόλυτη λίστα για νέους χρήστες του Firefox OSΦυσικά υπάρχει μια εφαρμογή για αυτό: Είναι η τεχνολογία ιστού. Το λειτουργικό σύστημα Mozilla για κινητά Firefox OS που, αντί για εγγενή κώδικα, χρησιμοποιεί HTML5, CSS3 και JavaScript για τις εφαρμογές του. Διαβάστε περισσότερα , καθώς και εγκατάσταση a πληθώρα εκπληκτικών πρόσθετων Τα 10 καλύτερα πρόσθετα Firefox για AndroidΜία από τις καλύτερες πτυχές του Firefox στο Android είναι η πρόσθετη υποστήριξη. Δείτε αυτά τα απαραίτητα πρόσθετα του Firefox για Android. Διαβάστε περισσότερα .

Αν θέλετε να είστε ιδιαίτερα παρανοϊκοί, υπάρχει ακόμη και μεταφορά του NoScript για Firefox Mobile. Ωστόσο, πρέπει να σημειωθεί ότι οι περισσότεροι ιστότοποι εξαρτώνται σε μεγάλο βαθμό JavaScript για απόδοση απόδοσης από την πλευρά του πελάτη Τι είναι το JavaScript και πώς λειτουργεί; [Τεχνολογία εξηγείται] Διαβάστε περισσότερα και η χρήση του NoScript σχεδόν σίγουρα θα σπάσει τους περισσότερους ιστότοπους. Αυτό, ίσως, εξηγεί γιατί ο Τζέιμς Μπρους το περιέγραψε ως μέρος του «trifecta του κακού AdBlock, NoScript & Ghostery - The Trifecta Of EvilΤους τελευταίους μήνες, έχω επικοινωνήσει με έναν μεγάλο αριθμό αναγνωστών που είχαν προβλήματα με τη λήψη των οδηγών μας ή γιατί δεν βλέπουν τα κουμπιά σύνδεσης ή τα σχόλια να μην φορτώνονται. και στο... Διαβάστε περισσότερα ‘.

Τέλος, εάν είναι δυνατόν, θα σας ενθαρρύνουμε να ενημερώσετε το πρόγραμμα περιήγησής σας Android στην πιο πρόσφατη έκδοση, εκτός από την εγκατάσταση της τελευταίας έκδοσης του λειτουργικού συστήματος Android. Αυτό διασφαλίζει ότι εάν η Google αποδεσμεύσει μια επιδιόρθωση για αυτό το σφάλμα πιο κάτω, θα είστε προστατευμένοι.

Ωστόσο, αξίζει να σημειωθεί αυτό Υπάρχουν αμφιβολίες ότι αυτό το ζήτημα θα μπορούσε ενδεχομένως να επηρεάσει τους χρήστες του Android 4.4 KitKat. Ωστόσο, δεν προέκυψε τίποτα που να είναι αρκετά σημαντικό για να συμβουλεύω τους αναγνώστες να αλλάζουν προγράμματα περιήγησης.

Ένα σημαντικό σφάλμα απορρήτου

Μην κάνετε λάθος, αυτό είναι σημαντικό πρόβλημα ασφάλειας smartphone Τι πρέπει πραγματικά να γνωρίζετε για την ασφάλεια των smartphone Διαβάστε περισσότερα . Ωστόσο, μεταβαίνοντας σε διαφορετικό πρόγραμμα περιήγησης, γίνετε σχεδόν άτρωτοι. Ωστόσο, παραμένουν ορισμένες ερωτήσεις σχετικά με τη συνολική ασφάλεια του λειτουργικού συστήματος Android.

Θα μεταβείτε σε κάτι λίγο πιο ασφαλές, όπως εξαιρετικά ασφαλές iOS Ασφάλεια smartphone: Μπορούν τα iPhone να λάβουν κακόβουλο λογισμικό;Το κακόβουλο λογισμικό που επηρεάζει "χιλιάδες" iPhone μπορεί να κλέψει διαπιστευτήρια του App Store, αλλά η πλειοψηφία των χρηστών iOS είναι απόλυτα ασφαλής - λοιπόν, τι συμβαίνει με το λογισμικό iOS και το απατεώνες; Διαβάστε περισσότερα ή (το αγαπημένο μου) Blackberry 10 10 λόγοι για να δοκιμάσετε το BlackBerry 10 σήμεραΤο BlackBerry 10 έχει μερικά αρκετά ακαταμάχητα χαρακτηριστικά. Εδώ είναι δέκα λόγοι για τους οποίους μπορεί να θέλετε να το δοκιμάσετε. Διαβάστε περισσότερα ? Ή ίσως θα μείνετε πιστοί στο Android και θα εγκαταστήσετε ένα ασφαλές ROM όπως το Paranoid Android ή Ομιρόμ 5 λόγοι για τους οποίους πρέπει να κάνετε Flash το OmniROM στη συσκευή σας AndroidΜε μια δέσμη προσαρμοσμένων επιλογών ROM εκεί έξω, μπορεί να είναι δύσκολο να εγκατασταθεί σε μία μόνο - αλλά πρέπει πραγματικά να λάβετε υπόψη το OmniROM. Διαβάστε περισσότερα ? Ή ίσως να μην ανησυχείτε καν.

Ας συζητήσουμε για αυτό. Το πλαίσιο σχολίων βρίσκεται παρακάτω. Ανυπομονώ να ακούσω τις σκέψεις σας.

Ο Matthew Hughes είναι προγραμματιστής λογισμικού και συγγραφέας από το Λίβερπουλ της Αγγλίας. Σπάνια βρέθηκε χωρίς ένα φλιτζάνι ισχυρό μαύρο καφέ στο χέρι του και λατρεύει απολύτως το Macbook Pro και την κάμερα του. Μπορείτε να διαβάσετε το ιστολόγιό του στο http://www.matthewhughes.co.uk και ακολουθήστε τον στο twitter στο @matthewhughes.