[ Zavřít ] 


 

RSS Kanál

 

Výchozí prohlížeč Androidu obsahuje kritickou zranitelnost

Prohlížeč integrovaný v operačním systému Android je kriticky zranitelný. Umožňuje totiž útočným stránkám přistupovat k obsahu ostatních stránek.

 

Bezpečnostní slabina androidího prohlížeče se nachází v klíčovém mechanismu prohlížeče – tzv. Same Origin Policy. Ten se mimo jiné stará o to, aby skripty z jedné stránky nemohly přistupovat k obsahu ostatních stránek otevřených v prohlížeči. Skripty tak mají pouze číst a upravovat webové prvky, které pochází ze stejného zdroje jako samy skripty. A zdroj se indentifikuje pomocí portu, domény a protokolu.

Android obsahuje kritickou zranitelnost v Same Origin Policy

Kritická zranitelnost však umožňuje prolomení Same Origin Policy. Ke zneužití zranitelosti stačí přidat do javascriptového rámce pouze NULL byte a útočný skript může bez dalších omezení získavat data z jiných webů a pracovat s nimi. Jakákoliv navštívená webová služba může být tedy napadnuta a její data ukradena. Pomocí této zranitelosti Same Origin Policy mohou být unesena sezení, ukradeny hesla a citlivá data, zjištěny všechny údaje o navštívených webech a operacích na nich provedených.

Ohroženy jsou i produkty třetích stran, které prohlížeč AOSP (Android Open Source Project) používají v rámci svých aplikací. Někteří uživatelé jej dokonce nainstalovali i na Android 4.4, v němž je defaultním prohlížečem Chrome. Bezpečnostní expert Rafay Baloch objevení zranitelnosti Googlu nahlásil již v srpnu. Společnost mu odpověděla, že se danou zranitelost nepodařilo zreprodukovat a považola celou věc za uzavřenou. Další aktivitu začala vyvíjet teprve poté, co Baloch celou věc zveřejnil na svém blogu a vyvinul framework, který slabinu umožňuje testovat.

Google už by měl mít hotovy záplaty této zranitelnosti, není ovšem jasné, jak je bude distribuovat. Klasický AOSP prohlížeč byl totiž součástí systému Android, nikoliv samostatná aplikace stáhnutelná a aktualizovatelná přes obchod Google Play. Do té doby je nejlepší obranou přejít na jiný prohlížeč, optimálně nezaložený na AOSP.

Zdroje: Forbes.com, Android Headlines

 

 

 

 

 

Co právě teď vyřídíte pomocí datové schránky?

Datové schránky právě teď plní svou funkci výborně. Jejich pomocí se bezplatně, ověřeně a okamžitě obrátíte nejen na státní úřady, ale také na komerční a soukromé subjekty. A především - nebudete se zbytečně pohybovat mezi...

Kyberobrana varuje před podvodnými nabídkami pomoci

Národní úřad pro kybernetickou a informační bezpečnost varuje před zákeřným sociálním inženýrstvím snažícím se dostat do IT sítí cílených subjektů malware pod rouškou solidárních nabídek bezplatného či...

COVID-19 ucpává internetové přípojky

Koronavirus ucpává nejen horní cesty dýchací a prostor veřejné diskuze, ale také internetové přípojky. Karanténa rapidně zvyšuje využívání internetu, a to vede k poklesu jeho svižnosti. Kvůli zachování operativních kapacit...

Doporučené dopisy zdarma: přes datovku a právě teď

Mimořádná situace si žádá mimořádných opatření. Poštovní datová zpráva, ekvivalent doporučeného dopisu, je nyní zdarma, a to i pro komunikaci mezi občany a firmami. Chcete-li mít zdarma ověřené doručení liebesbriefů milovaným a...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama