Dieser Android Browser Bug wird Sie auf KitKat aktualisieren

Es wurde ein schwerwiegendes Problem mit dem Aktien-Browser auf Pre-KitKat-Telefonen entdeckt, das bösartigen Websites den Zugriff auf Daten anderer Websites ermöglichen könnte. Hört sich gruselig an? Hier ist, was Sie wissen müssen.

Es wurde ein schwerwiegendes Problem mit dem Aktien-Browser auf Pre-KitKat-Telefonen entdeckt, das bösartigen Websites den Zugriff auf Daten anderer Websites ermöglichen könnte.  Hört sich gruselig an?  Hier ist, was Sie wissen müssen.
Werbung

Hast du noch ein Upgrade auf Android 4.4 KitKat? Hier ist etwas, das Sie vielleicht ermutigen könnte, den Switch zu wechseln: Es wurde ein schwerwiegendes Problem mit dem Bestands-Browser auf Pre-KitKat-Telefonen entdeckt, und es könnte bösartigen Websites den Zugriff auf Daten anderer Websites ermöglichen. Hört sich gruselig an? Hier ist, was Sie wissen müssen

Das Problem, das zuerst von Rafay Baloch entdeckt wurde, zeigt, dass bösartige Websites in der Lage sind, willkürliches JavaScript in andere Frames zu injizieren, wodurch Cookies gestohlen werden oder die Struktur und das Markup von Websites direkt beeinträchtigt werden.

Die Sicherheitsforscher sind verzweifelt besorgt, und Rapid7 - die Hersteller des beliebten Sicherheitstests, Metasploit - beschreiben es als "Privatsphäre-Albtraum". Neugierig, wie es funktioniert, warum Sie sich Sorgen machen sollten und was Sie dagegen tun können? Lesen Sie weiter für mehr.

Ein grundlegendes Sicherheitsprinzip: Umgangen

Das Grundprinzip, das diesen Angriff von vornherein verhindern soll, heißt Same Origin Policy. Kurz gesagt bedeutet dies, dass clientseitiges JavaScript, das auf einer Website ausgeführt wird, nicht in der Lage sein sollte, andere Websites zu stören.

Diese Richtlinie ist seit der Einführung von Netscape Navigator 2 im Jahr 1995 eine Grundlage für die Sicherheit von Webanwendungen. Jeder einzelne Webbrowser hat diese Richtlinie als grundlegendes Sicherheitsmerkmal implementiert. Daher ist es äußerst selten, dass solche Richtlinien eingehalten werden eine Verwundbarkeit in der Wildnis.

Für weitere Informationen zur Funktionsweise von SOP möchten Sie vielleicht das obige Video sehen. Dies wurde auf einer OWASP-Veranstaltung (Open Web App Security Project) in Deutschland gemacht und ist eine der besten Erklärungen für das Protokoll, das ich bisher gesehen habe.

Wenn ein Browser anfällig für einen SOP-Bypass-Angriff ist, gibt es viel Platz für Schaden. Ein Angreifer kann praktisch alles tun, von der Verwendung der mit der HTML5-Spezifikation eingeführten Standort-API, um herauszufinden, wo sich ein Opfer befindet, bis hin zum Stehlen von Cookies.

Glücklicherweise nehmen die meisten Browser-Entwickler diese Art von Angriff ernst. Umso bemerkenswerter ist es, einen solchen Angriff "in freier Wildbahn" zu sehen.

Wie der Angriff funktioniert

Also, wir wissen, dass Same Origin Polity wichtig ist. Und wir wissen, dass ein massiver Ausfall des Android-Browsers dazu führen kann, dass Angreifer diese wichtige Sicherheitsmaßnahme umgehen? Aber wie funktioniert es?

Nun, der Konzeptnachweis von Rafay Baloch sieht ein bisschen so aus:

Also, was haben wir hier? Nun, da ist ein iFrame. Dies ist ein HTML-Element, mit dem Websites eine andere Webseite in eine andere Webseite einbetten können. Sie werden nicht mehr so ​​oft verwendet wie früher, hauptsächlich, weil sie ein SEO-Albtraum sind. 10 Häufige SEO-Fehler, die Ihre Website zerstören können [Teil I] 10 Häufige SEO-Fehler, die Ihre Website zerstören können [Teil I] Lesen Sie mehr. Sie finden sie jedoch immer noch von Zeit zu Zeit, und sie sind immer noch Teil der HTML-Spezifikation und noch nicht veraltet.

Daran schließt sich ein HTML-Tag an, das eine Eingabeschaltfläche darstellt. Dies enthält ein speziell gestaltetes JavaScript (beachten Sie, dass "\ u0000" folgt?), Das beim Klicken den Domain-Namen der aktuellen Website ausgibt. Aufgrund eines Fehlers im Android-Browser greift er jedoch auf die Attribute des iFrame zu und druckt "rhaininfosec.com" als JavaScript-Warnmeldung aus.

Android-HTML-Angriff

Bei Google Chrome, Internet Explorer und Firefox würde diese Art von Angriff einfach fehlschlagen. Es würde (abhängig vom Browser) auch ein Protokoll in der JavaScript-Konsole erstellen, das darüber informiert, dass der Browser den Angriff blockiert hat. Abgesehen davon, aus irgendeinem Grund, der Stock-Browser auf Pre-Android 4.4 Geräte tut das nicht.

Android-html-Konsole

Einen Domain-Namen auszudrucken ist nicht besonders spektakulär. Es ist jedoch besorgniserregend, auf Cookies zuzugreifen und willkürliches JavaScript auf einer anderen Website auszuführen. Zum Glück gibt es etwas, was getan werden kann.

Was kann getan werden?

Benutzer haben hier ein paar Optionen. Erstens, höre auf, den Android-Browser zu verwenden. Es ist alt, es ist unsicher und es gibt derzeit viel attraktivere Optionen auf dem Markt. Google hat Chrome für Android veröffentlicht Google Chrome startet endlich für Android (nur ICS) [News] Google Chrome startet endlich für Android (nur ICS) [News] Lesen Sie weiter (obwohl, nur für Geräte mit Ice Cream Sandwich und oben), und es gibt sogar mobile Varianten von Firefox und Opera verfügbar.

Insbesondere Firefox Mobile ist es wert, beachtet zu werden. Zusätzlich zu einem erstaunlichen Browser-Erlebnis, können Sie auch Anwendungen für Mozillas eigenes mobiles Betriebssystem ausführen, Firefox OS Top 15 Firefox OS Apps: Die ultimative Liste für neue Firefox OS Benutzer Top 15 Firefox OS Apps: Die ultimative Liste für neue Firefox OS-Benutzer Natürlich gibt es dafür eine App: Es ist schließlich Web-Technologie. Mozillas mobiles Betriebssystem Firefox OS, das anstelle von nativem Code HTML5, CSS3 und JavaScript für seine Apps verwendet. Lesen Sie mehr, und installieren Sie eine Fülle von fantastischen Add-ons. Unmissable Addons für Firefox auf Ihrem Android-Gerät. Nicht zu unterschätzende Addons für Firefox auf Ihrem Android-Gerät Firefox für Android hat einen Trick im Ärmel: Add-ons. Genauso wie Firefox auf dem Desktop ein leistungsstärkeres Erweiterungssystem als Chrome bietet, schlägt es Chrome für Android durch die Unterstützung von Erweiterungen. Sie können installieren ... Lesen Sie mehr.

Wenn Sie besonders paranoid sein wollen, gibt es sogar eine Portierung von NoScript für Firefox Mobile. Es sollte jedoch beachtet werden, dass die meisten Websites zum Rendern von clientseitigen Feinheiten stark von JavaScript abhängig sind. Was ist JavaScript und wie funktioniert es? [Technologie erklärt] Was ist JavaScript und wie funktioniert es? [Technology Explained] Lesen Sie mehr, und die Verwendung von NoScript wird fast sicher die meisten Websites brechen. Dies erklärt vielleicht, warum James Bruce es als Teil der "Trifecta des Bösen AdBlock, NoScript & Ghostery - Das Trifecta des Bösen AdBlock, NoScript & Ghostery - Das Trifecta des Bösen beschrieben hat. In den letzten Monaten wurde ich kontaktiert eine gute Anzahl von Lesern, die Probleme beim Herunterladen unserer Guides hatten oder warum sie nicht sehen können, dass die Login-Buttons oder Kommentare nicht geladen werden; und in ... Lesen Sie mehr '.

Schließlich sollten Sie, wenn möglich, dazu ermutigt werden, Ihren Android-Browser auf die neueste Version zu aktualisieren und zusätzlich die neueste Version des Android-Betriebssystems zu installieren. Dies stellt sicher, dass Google geschützt ist, sollte Google später eine Fehlerbehebung für diesen Fehler veröffentlichen.

Es ist jedoch erwähnenswert, dass es Gerüchte gibt, dass dieses Problem Benutzer von Android 4.4 KitKat möglicherweise treffen könnte. Es hat sich jedoch nichts ergeben, was für mich ausreichend wäre, um den Lesern den Wechsel des Browsers zu empfehlen.

Ein wichtiger Datenschutzfehler

Machen Sie keinen Fehler, dies ist eine große Smartphone-Sicherheitsfrage Was Sie wirklich über Smartphone-Sicherheit wissen müssen Was Sie wirklich über Smartphone-Sicherheit wissen müssen Lesen Sie mehr. Durch den Wechsel zu einem anderen Browser werden Sie jedoch praktisch unverwundbar. Es bleibt jedoch eine Reihe von Fragen zur Gesamtsicherheit des Android-Betriebssystems.

Werden Sie etwas sicherer werden, wie die super-sichere iOS Smartphone Security: Können iPhones Malware bekommen? Smartphone-Sicherheit: Können iPhones Malware erhalten? Malware, die "Tausende" von iPhones betrifft, kann die App Store-Anmeldedaten stehlen, aber die Mehrheit der iOS-Nutzer ist vollkommen sicher - was ist also der Deal mit iOS- und Rogue-Software? Lesen Sie mehr oder (mein Lieblings-) Blackberry 10 10 Gründe, um BlackBerry 10 A zu geben Versuchen Sie heute 10 Gründe, BlackBerry 10 einen Versuch zu geben Heute BlackBerry 10 hat einige ziemlich unwiderstehliche Funktionen. Hier sind zehn Gründe, warum Sie es ausprobieren möchten. Weiterlesen ? Oder vielleicht bleiben Sie loyal gegenüber Android und installieren ein sicheres ROM wie Paranoid Android oder Omirom 5 Gründe, warum Sie OmniROM auf Ihr Android-Gerät flashen sollten 5 Gründe, warum Sie OmniROM auf Ihr Android-Gerät flashen sollten Mit einer Reihe von benutzerdefinierten ROM-Optionen Da kann es schwierig sein, nur eine Lösung zu finden - aber Sie sollten OmniROM wirklich in Betracht ziehen. Weiterlesen ? Oder vielleicht bist du nicht so besorgt.

Lass uns darüber reden. Das Kommentarfeld ist unten. Ich kann es kaum erwarten deine Gedanken zu hören.

In this article