Moet je nog upgraden naar Android 4.4 KitKat? Hier is iets dat u misschien een beetje aanmoedigt om over te schakelen: er is een ernstig probleem met de voorraadbrowser op pre-KitKat-telefoons ontdekt en kwaadwillende websites kunnen toegang krijgen tot de gegevens van andere websites. Klinkt eng? Dit is wat je moet weten
Het probleem - dat voor het eerst werd ontdekt door onderzoeker Rafay Baloch - ziet dat kwaadwillende websites willekeurig JavaScript kunnen invoegen in andere frames, waardoor cookies kunnen worden gestolen of de structuur en markup van websites direct worden verstoord.
Beveiligingsonderzoekers maken zich daar wanhopig zorgen over, met Rapid7 - de makers van het populaire kader voor beveiligingstests, Metasploit - die het beschrijven als een 'privacy-nachtmerrie'. Benieuwd hoe het werkt, waarom zou u zich zorgen moeten maken en wat u eraan kunt doen? Lees verder voor meer informatie.
Een basisbeveiligingsprincipe: overbrugd
Het basisprincipe dat zou moeten voorkomen dat deze aanval in de eerste plaats plaatsvindt, wordt het Same Origin-beleid genoemd. Kort gezegd betekent dit dat JavaScript aan de clientzijde die op één website wordt uitgevoerd, zich niet zou mogen bemoeien met een andere website.
Dit beleid is de basis geweest voor de beveiliging van webtoepassingen, vanaf het moment dat het voor het eerst werd geïntroduceerd in 1995 met Netscape Navigator 2. Elke webbrowser heeft dit beleid geïmplementeerd als een fundamentele beveiligingsfunctie en als gevolg daarvan is het ongelooflijk zeldzaam om dergelijke een kwetsbaarheid in het wild.
Voor meer informatie over hoe SOP werkt, wilt u misschien de bovenstaande video bekijken. Dit is gemaakt tijdens een OWASP-evenement (Open Web App Security Project) in Duitsland en is een van de beste verklaringen voor het protocol dat ik tot nu toe heb gezien.
Wanneer een browser kwetsbaar is voor een SOP-bypassaanval, is er veel ruimte voor schade. Een aanvaller kan alles doen, van de locatie-API die is geïntroduceerd met de HTML5-specificatie om te achterhalen waar een slachtoffer zich bevindt, helemaal tot aan het stelen van cookies.
Gelukkig nemen de meeste browserontwikkelaars zo'n aanval serieus. Wat het des te opmerkelijker maakt om zo'n aanval 'in het wild' te zien.
Hoe de aanval werkt
Dus, we weten Same Origin Polity is belangrijk. En we weten dat een massief falen van de Android-voorraad kan leiden tot aanvallers die deze cruciale veiligheidsmaatregel omzeilen? Maar hoe werkt het?
Welnu, de proof of concept gegeven door Rafay Baloch ziet er ongeveer zo uit:
Wat hebben we hier? Welnu, er is een iFrame. Dit is een HTML-element dat wordt gebruikt om websites in staat te stellen een andere webpagina op een andere webpagina in te sluiten. Ze worden niet zo vaak gebruikt als vroeger, voornamelijk omdat ze een nachtmerrie van SEO zijn. 10 Veel voorkomende SEO-fouten die je website kunnen vernietigen [Deel I] 10 Veel voorkomende SEO-fouten die je website kunnen vernietigen [Deel I] Meer lezen. U vindt ze echter nog vaak van tijd tot tijd en ze zijn nog steeds onderdeel van de HTML-specificatie en zijn nog niet verouderd.
Hierna volgt een HTML-tag die een invoerknop vertegenwoordigt. Dit bevat een aantal speciaal vervaardigde JavaScript-code (merk op dat er achteraan '\ u0000' staat?) Die, wanneer erop wordt geklikt, de domeinnaam van de huidige website uitvoert. Vanwege een fout in de Android-browser krijgt het echter toegang tot de kenmerken van het iFrame en eindigt het afdrukken van 'rhaininfosec.com' als een JavaScript-waarschuwingsvenster.
In Google Chrome, Internet Explorer en Firefox zou dit type aanval eenvoudigweg uitvallen. Het zou (afhankelijk van de browser) ook een log in de JavaScript-console produceren die meldt dat de browser de aanval heeft geblokkeerd. Behalve om wat voor reden dan ook, doet de stockbrowser op pre-Android 4.4-apparaten dat niet.
Het uitprinten van een domeinnaam is niet zo spectaculair. Het verkrijgen van toegang tot cookies en het uitvoeren van willekeurig JavaScript op een andere website is echter zorgwekkend. Gelukkig is er iets dat gedaan kan worden.
Wat gedaan kan worden?
Gebruikers hebben hier een paar opties. Ten eerste, stop met het gebruik van de stock-Android-browser. Het is oud, het is onzeker en er zijn nu veel meer aantrekkelijke opties op de markt. Google heeft Chrome voor Android uitgebracht Google Chrome lanceert eindelijk voor Android (alleen ICS) [Nieuws] Google Chrome lanceert eindelijk voor Android (alleen ICS) [Nieuws] Lees meer (hoewel, alleen voor apparaten met Ice Cream Sandwich en hoger), en er is zelfs mobiele varianten van Firefox en Opera beschikbaar.
Vooral Firefox Mobile is de moeite waard om op te letten. Naast een geweldige browse-ervaring, kun je ook applicaties voor Mozilla's eigen mobiele besturingssysteem gebruiken, Firefox OS Top 15 Firefox OS-apps: de ultieme lijst voor nieuwe Firefox OS-gebruikers Top 15 Firefox OS-apps: de ultieme lijst voor nieuwe Firefox OS-gebruikers Natuurlijk is daar een app voor: het is tenslotte webtechnologie. Mozilla's mobiele besturingssysteem Firefox OS dat, in plaats van de native code, HTML5, CSS3 en JavaScript gebruikt voor zijn apps. Meer lezen, evenals een schat aan geweldige add-ons installeren Onmisbare add-ons voor Firefox op uw Android-apparaat Onmisbare add-ons voor Firefox op uw Android-apparaat Firefox voor Android heeft een trucje in petto: add-ons. Net zoals Firefox een krachtigere extensiesysteem biedt dan Chrome op de desktop, verslaat het Chrome voor Android door extensies te ondersteunen. U kunt ... Lees meer installeren.
Als je vooral paranoïde wilt zijn, is er zelfs een overdracht van NoScript voor Firefox Mobile. Hoewel, moet worden opgemerkt dat de meeste websites sterk afhankelijk zijn van JavaScript voor het weergeven van client-side niceties Wat is JavaScript en hoe werkt het? [Technology Explained] Wat is JavaScript en hoe werkt het? [Technology Explained] Read More, en het gebruik van NoScript zal vrijwel zeker de meeste websites breken. Dit verklaart misschien waarom James Bruce het beschreef als onderdeel van de 'trifecta van het kwaad AdBlock, NoScript & Ghostery - The Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil De afgelopen paar maanden ben ik gecontacteerd door een groot aantal lezers die problemen hebben gehad met het downloaden van onze handleidingen, of waarom ze de inlogknoppen of opmerkingen die niet laden niet kunnen zien; en in ... Lees meer '.
Ten slotte wordt u indien mogelijk aangemoedigd om uw Android-browser bij te werken naar de nieuwste versie en om de nieuwste versie van het Android-besturingssysteem te installeren. Dit zorgt ervoor dat Google een oplossing voor deze bug verderop in de rij zou moeten vrijgeven, u bent beschermd.
Hoewel het vermeldenswaard is dat er gerommel is dat dit probleem mogelijk gebruikers van Android 4.4 KitKat zou kunnen treffen. Er is echter niets naar voren gekomen dat voor mij voldoende substantieel is om lezers te adviseren om van browser te wisselen.
Een grote privacy-bug
Vergis u niet, dit is een groot probleem met de beveiliging van smartphones Wat u echt moet weten over Smartphone-beveiliging Wat u echt moet weten over Smartphone Beveiliging Meer lezen. Door over te schakelen naar een andere browser, wordt u echter vrijwel onkwetsbaar. Er blijven echter een aantal vragen over de algemene beveiliging van het Android-besturingssysteem.
Ga je overschakelen naar iets wat veiliger, zoals superveilige iOS Smartphone-beveiliging: kunnen iPhones Malware krijgen? Beveiliging van smartphones: kunnen iPhones malware krijgen? Malware die "duizenden" iPhones beïnvloedt, kan de App Store-inloggegevens stelen, maar de meerderheid van iOS-gebruikers is volkomen veilig - dus wat is de deal met iOS en malafide software? Meer lezen of (mijn favoriet) BlackBerry 10 10 Redenen om BlackBerry 10 A te geven Probeer vandaag 10 redenen om BlackBerry 10 A te geven Probeer BlackBerry 10 heeft vandaag enkele behoorlijk onweerstaanbare functies. Hier zijn tien redenen waarom u het misschien zou willen proberen. Lees verder ? Of misschien blijf je trouw aan Android en installeer je een veilige ROM zoals Paranoid Android of Omirom 5 Redenen waarom je OmniROM moet flashen naar je Android-apparaat 5 Redenen waarom je OmniROM naar je Android-apparaat moet flashen Met een heleboel aangepaste ROM-opties uit daar kan het moeilijk zijn om er maar één te regelen - maar je moet echt OmniROM overwegen. Lees verder ? Of misschien ben je niet eens zo bezorgd.
Laten we erover praten. Het opmerkingenveld staat hieronder. Ik kan niet wachten om je gedachten te horen.
