Mit diesem Android-Browser-Fehler können Sie auf KitKat aktualisieren

Werbung

Müssen Sie noch auf Android 4.4 KitKat aktualisieren? Hier ist etwas, das Sie ein wenig ermutigen könnte, den Wechsel vorzunehmen: ein ernstes Problem mit der Aktie Der Browser auf Pre-KitKat-Telefonen wurde entdeckt und kann böswilligen Websites den Zugriff auf die Daten anderer ermöglichen Websites. Hört sich gruselig an? Folgendes müssen Sie wissen:

Das Problem - welches war zuerst vom Forscher Rafay Baloch entdeckt - sieht, dass böswillige Websites beliebiges JavaScript in andere Frames einfügen können, wodurch möglicherweise Cookies gestohlen werden oder die Struktur und das Markup von Websites direkt beeinträchtigt werden.

Sicherheitsforscher sind darüber verzweifelt besorgt. Rapid7 - die Hersteller des beliebten Frameworks für Sicherheitstests, Metasploit - es als "Alptraum der Privatsphäre" zu beschreiben. Neugierig, wie es funktioniert, warum Sie sich Sorgen machen sollten und was Sie dagegen tun können? Lesen Sie weiter für mehr.

Ein grundlegendes Sicherheitsprinzip: Umgangen

Das Grundprinzip, das verhindern soll, dass dieser Angriff überhaupt auftritt, heißt Same Origin Policy. Kurz gesagt bedeutet dies, dass clientseitiges JavaScript, das auf einer Website ausgeführt wird, nicht in der Lage sein sollte, eine andere Website zu stören.

Diese Richtlinie ist seit ihrer Einführung 1995 mit Netscape Navigator 2 eine Grundlage für die Sicherheit von Webanwendungen. Jeder einzelne Webbrowser hat diese Richtlinie als grundlegendes Sicherheitsmerkmal implementiert. Daher ist es unglaublich selten, dass eine solche Sicherheitsanfälligkeit in freier Wildbahn auftritt.

Weitere Informationen zur Funktionsweise von SOP finden Sie im obigen Video. Dies wurde bei einer OWASP-Veranstaltung (Open Web App Security Project) in Deutschland aufgenommen und ist eine der besten Erklärungen für das Protokoll, das ich bisher gesehen habe.

Wenn ein Browser für einen SOP-Bypass-Angriff anfällig ist, besteht viel Raum für Schäden. Ein Angreifer kann alles Mögliche tun, von der mit der HTML5-Spezifikation eingeführten Standort-API, um herauszufinden, wo sich ein Opfer befindet, bis hin zum Diebstahl von Cookies.

Glücklicherweise nehmen die meisten Browserentwickler diese Art von Angriff ernst. Umso bemerkenswerter ist es, einen solchen Angriff „in freier Wildbahn“ zu sehen.

Wie der Angriff funktioniert

Wir wissen es also Die Politik des gleichen Ursprungs ist wichtig. Und wir wissen, dass ein massiver Ausfall des Standard-Android-Browsers möglicherweise dazu führen kann, dass Angreifer diese entscheidende Sicherheitsmaßnahme umgehen? Aber wie funktioniert es?

Nun, der Proof of Concept von Rafay Baloch sieht ungefähr so ​​aus:
[NICHT LÄNGER VERFÜGBAR]
Also, was haben wir hier? Nun, es gibt einen iFrame. Dies ist ein HTML-Element, mit dem Websites eine andere Webseite in eine andere Webseite einbetten können. Sie werden nicht mehr so ​​oft verwendet wie früher, vor allem, weil sie es sind ein SEO-Albtraum 10 häufige SEO-Fehler, die Ihre Website zerstören können [Teil I] Weiterlesen . Sie finden sie jedoch immer noch häufig von Zeit zu Zeit und sie sind immer noch Teil der HTML-Spezifikation und wurden noch nicht veraltet.

Darauf folgt ein HTML-Tag darstellt eine Eingabetaste. Dieses enthält speziell entwickeltes JavaScript (beachten Sie, dass "\ u0000" folgt?), Das beim Klicken den Domainnamen der aktuellen Website ausgibt. Aufgrund eines Fehlers im Android-Browser wird jedoch auf die Attribute des iFrame zugegriffen und "rhaininfosec.com" als JavaScript-Warnfeld gedruckt.

In Google Chrome, Internet Explorer und Firefox würde diese Art von Angriff einfach fehlschlagen. Es wird (abhängig vom Browser) auch ein Protokoll in der JavaScript-Konsole erstellt, das darüber informiert, dass der Browser den Angriff blockiert hat. Aus irgendeinem Grund tut dies der Standardbrowser auf Geräten vor Android 4.4 nicht.

Das Ausdrucken eines Domainnamens ist nicht besonders spektakulär. Es ist jedoch ziemlich besorgniserregend, Zugriff auf Cookies zu erhalten und beliebiges JavaScript auf einer anderen Website auszuführen. Zum Glück kann etwas getan werden.

Was kann getan werden?

Benutzer haben hier einige Optionen. Beenden Sie zunächst die Verwendung des Standard-Android-Browsers. Es ist alt, unsicher und es gibt derzeit weitaus überzeugendere Optionen auf dem Markt. Google hat Chrome für Android veröffentlicht Google Chrome startet endlich für Android (nur ICS) [News] Weiterlesen (allerdings nur für Geräte mit Ice Cream Sandwich und höher), und es gibt sogar mobile Varianten von Firefox und Opera.

Insbesondere Firefox Mobile ist es wert, beachtet zu werden. Es bietet nicht nur ein erstaunliches Surferlebnis, sondern ermöglicht Ihnen auch das Ausführen Anwendungen für Mozillas eigenes mobiles Betriebssystem Firefox OS Top 15 Firefox OS-Apps: Die ultimative Liste für neue Firefox OS-BenutzerDafür gibt es natürlich eine App: Es ist schließlich Web-Technologie. Mozillas mobiles Betriebssystem Firefox OS, das anstelle von nativem Code HTML5, CSS3 und JavaScript für seine Apps verwendet. Weiterlesen sowie ein installieren Fülle von fantastischen Add-Ons Die 10 besten Firefox-Add-Ons für AndroidEiner der besten Aspekte von Firefox unter Android ist die Add-On-Unterstützung. Schauen Sie sich diese wichtigen Firefox-Add-Ons für Android an. Weiterlesen .

Wenn Sie besonders paranoid sein möchten, gibt es sogar eine Portierung von NoScript für Firefox Mobile. Es ist jedoch zu beachten, dass die meisten Websites stark von diesen abhängig sind JavaScript zum Rendern clientseitiger Feinheiten Was ist JavaScript und wie funktioniert es? [Technologie erklärt] Weiterlesen und die Verwendung von NoScript wird mit ziemlicher Sicherheit die meisten Websites beschädigen. Dies erklärt vielleicht, warum James Bruce es als Teil desTrifecta des Bösen AdBlock, NoScript & Ghostery - Das Trifecta des BösenIn den letzten Monaten wurde ich von einer Reihe von Lesern kontaktiert, die Probleme beim Herunterladen unserer Anleitungen hatten oder warum sie die Anmeldeschaltflächen oder Kommentare nicht sehen konnten, die nicht geladen wurden. und in... Weiterlesen ‘.

Wenn möglich, sollten Sie Ihren Android-Browser auf die neueste Version aktualisieren und zusätzlich die neueste Version des Android-Betriebssystems installieren. Dies stellt sicher, dass Sie geschützt sind, falls Google später einen Fix für diesen Fehler veröffentlicht.

Es ist jedoch erwähnenswert, dass Es gibt Gerüchte, dass dieses Problem möglicherweise Benutzer von Android 4.4 KitKat treffen könnte. Es ist jedoch nichts aufgetaucht, das so umfangreich ist, dass ich den Lesern raten kann, den Browser zu wechseln.

Ein schwerwiegender Datenschutzfehler

Machen Sie keinen Fehler, das ist ein großes Sicherheitsproblem für Smartphones Was Sie wirklich über die Sicherheit von Smartphones wissen müssen Weiterlesen . Wenn Sie jedoch zu einem anderen Browser wechseln, werden Sie praktisch unverwundbar. Es bleibt jedoch eine Reihe von Fragen zur Gesamtsicherheit des Android-Betriebssystems offen.

Wechseln Sie zu etwas Sichererem, wie z supersicheres iOS Smartphone-Sicherheit: Können iPhones Malware bekommen?Malware, die "Tausende" von iPhones betrifft, kann App Store-Anmeldeinformationen stehlen, aber die Mehrheit der iOS-Benutzer ist absolut sicher - wie sieht es also mit iOS- und Rogue-Software aus? Weiterlesen oder (mein Favorit) Blackberry 10 10 Gründe, BlackBerry 10 noch heute auszuprobierenBlackBerry 10 hat einige ziemlich unwiderstehliche Funktionen. Hier sind zehn Gründe, warum Sie es versuchen möchten. Weiterlesen ? Oder vielleicht bleiben Sie Android treu und installieren ein sicheres ROM wie Paranoid Android oder Omirom 5 Gründe, warum Sie OmniROM auf Ihr Android-Gerät flashen solltenMit einer Reihe von benutzerdefinierten ROM-Optionen kann es schwierig sein, sich nur für eine zu entscheiden - aber Sie sollten OmniROM wirklich in Betracht ziehen. Weiterlesen ? Oder vielleicht bist du gar nicht so besorgt.

Lass uns darüber reden. Das Kommentarfeld befindet sich unten. Ich kann es kaum erwarten, Ihre Gedanken zu hören.