[ Zavřít ] 


 

RSS Kanál

 

Výchozí prohlížeč Androidu obsahuje kritickou zranitelnost

Prohlížeč integrovaný v operačním systému Android je kriticky zranitelný. Umožňuje totiž útočným stránkám přistupovat k obsahu ostatních stránek.

 

Bezpečnostní slabina androidího prohlížeče se nachází v klíčovém mechanismu prohlížeče – tzv. Same Origin Policy. Ten se mimo jiné stará o to, aby skripty z jedné stránky nemohly přistupovat k obsahu ostatních stránek otevřených v prohlížeči. Skripty tak mají pouze číst a upravovat webové prvky, které pochází ze stejného zdroje jako samy skripty. A zdroj se indentifikuje pomocí portu, domény a protokolu.

Android obsahuje kritickou zranitelnost v Same Origin Policy

Kritická zranitelnost však umožňuje prolomení Same Origin Policy. Ke zneužití zranitelosti stačí přidat do javascriptového rámce pouze NULL byte a útočný skript může bez dalších omezení získavat data z jiných webů a pracovat s nimi. Jakákoliv navštívená webová služba může být tedy napadnuta a její data ukradena. Pomocí této zranitelosti Same Origin Policy mohou být unesena sezení, ukradeny hesla a citlivá data, zjištěny všechny údaje o navštívených webech a operacích na nich provedených.

Ohroženy jsou i produkty třetích stran, které prohlížeč AOSP (Android Open Source Project) používají v rámci svých aplikací. Někteří uživatelé jej dokonce nainstalovali i na Android 4.4, v němž je defaultním prohlížečem Chrome. Bezpečnostní expert Rafay Baloch objevení zranitelnosti Googlu nahlásil již v srpnu. Společnost mu odpověděla, že se danou zranitelost nepodařilo zreprodukovat a považola celou věc za uzavřenou. Další aktivitu začala vyvíjet teprve poté, co Baloch celou věc zveřejnil na svém blogu a vyvinul framework, který slabinu umožňuje testovat.

Google už by měl mít hotovy záplaty této zranitelnosti, není ovšem jasné, jak je bude distribuovat. Klasický AOSP prohlížeč byl totiž součástí systému Android, nikoliv samostatná aplikace stáhnutelná a aktualizovatelná přes obchod Google Play. Do té doby je nejlepší obranou přejít na jiný prohlížeč, optimálně nezaložený na AOSP.

Zdroje: Forbes.com, Android Headlines

 

 

 

 

 

LibreOffice 6.4: rychlejší, příjemnější

Největší svobodný kancelářský balík s nejširší podporou a nejrychlejším vývojem dostává prvenství ve své kategorii a povyšuje na menší-větší verzi - tedy na úrovni desetinky...

Avast uklízí po kauze Jumpshot

Avast reaguje na kauzu kolem prodeje dat shromažďovaných mimo jiné i jeho bezplatnými produkty Avast Free Antivirus a AVG AntiVirus FREE. Kauza spojená se jménem dceřiné společnosti Jumpshot, která fakticky data prodávala, stála Avast pokles ceny akcií na burze,...

Antiviry budou chránit Windows 7 další 2 roky

Konec podpory Windows 7 ze strany Microsoftu rozvířil poklidné vody internetového života. Zatímco mnozí se domnívají, že konec podpory vývojáře nic neznamená, experti na IT security z nezávislých laboratoří AV-TEST kontaktovali vývojáře objektů,...

Avast prodával své uživatele marketérům

Každé ZADARMO bývá zaplaceno. Což právě dokázal Avast všem uživatelům antivirů Avast FREE a AVG FREE. Jak se portálu PCMag a Motherboard podařilo zjistit, prodával Avast data shromážděná mimo jiné i prostřednictvím bezplatných verzí produktů Avast...


 
© 2005-2020 PS Media s.r.o. - digital world