[ Zavřít ] 


 

RSS Kanál

 

Výchozí prohlížeč Androidu obsahuje kritickou zranitelnost

Prohlížeč integrovaný v operačním systému Android je kriticky zranitelný. Umožňuje totiž útočným stránkám přistupovat k obsahu ostatních stránek.

 

Bezpečnostní slabina androidího prohlížeče se nachází v klíčovém mechanismu prohlížeče – tzv. Same Origin Policy. Ten se mimo jiné stará o to, aby skripty z jedné stránky nemohly přistupovat k obsahu ostatních stránek otevřených v prohlížeči. Skripty tak mají pouze číst a upravovat webové prvky, které pochází ze stejného zdroje jako samy skripty. A zdroj se indentifikuje pomocí portu, domény a protokolu.

Android obsahuje kritickou zranitelnost v Same Origin Policy

Kritická zranitelnost však umožňuje prolomení Same Origin Policy. Ke zneužití zranitelosti stačí přidat do javascriptového rámce pouze NULL byte a útočný skript může bez dalších omezení získavat data z jiných webů a pracovat s nimi. Jakákoliv navštívená webová služba může být tedy napadnuta a její data ukradena. Pomocí této zranitelosti Same Origin Policy mohou být unesena sezení, ukradeny hesla a citlivá data, zjištěny všechny údaje o navštívených webech a operacích na nich provedených.

Ohroženy jsou i produkty třetích stran, které prohlížeč AOSP (Android Open Source Project) používají v rámci svých aplikací. Někteří uživatelé jej dokonce nainstalovali i na Android 4.4, v němž je defaultním prohlížečem Chrome. Bezpečnostní expert Rafay Baloch objevení zranitelnosti Googlu nahlásil již v srpnu. Společnost mu odpověděla, že se danou zranitelost nepodařilo zreprodukovat a považola celou věc za uzavřenou. Další aktivitu začala vyvíjet teprve poté, co Baloch celou věc zveřejnil na svém blogu a vyvinul framework, který slabinu umožňuje testovat.

Google už by měl mít hotovy záplaty této zranitelnosti, není ovšem jasné, jak je bude distribuovat. Klasický AOSP prohlížeč byl totiž součástí systému Android, nikoliv samostatná aplikace stáhnutelná a aktualizovatelná přes obchod Google Play. Do té doby je nejlepší obranou přejít na jiný prohlížeč, optimálně nezaložený na AOSP.

Zdroje: Forbes.com, Android Headlines

 

 

 

 

 

Seznam.cz zavádí tlačítko Líbí se a vlastní diskuze

Preferenční tlačítko typu To se mi líbí zavádí i Seznam.cz. Jmenuje se Líbí se. Dostalo podobu srdíčka. Vyjadřuje čtenářův zájem o konkrétní článek. Kromě vnitřní hodnoty pro redakci stojící za článkem samozřejmě...

Vivaldi 3.3: pauza od internetu, drobečková navigace v URL

Vývojáři Vivaldi potvrzují přístup otevřené mysli k věci. V nové edici přicházejí s možností pauznout všecky ty internety, prokliknout se na konkrétní část URL adresy (a tak víceméně alternují drobečkovou navigaci) a pro...

Google staví vlastní město

Řádí-li ve světě koronavirus, vaši zaměstnanci jsou pro vás příliš cenní, mají to k vám daleko a vy víceméně chcete mít pod kontrolou i jejich zdraví - proč si nepostavit vlastní městečko? A přesně to má v plánu Google....

Apple uchrání MAC adresu zařízení před sledováním

Apple přichází s novou ochranou soukromí svých uživatelů, a to sice se soukromou Wi-Fi MAC adresou. Zapnutím této funkce bude zařízení na každé Wi-Fi vystupovat pod jinou MAC adresou, což ztíží identifikaci zařízení a jeho sledování při průchodu...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama