İlan

Henüz Android 4.4 KitKat sürümüne geçmediniz mi? İşte size geçiş yapmak için biraz cesaret verebilecek bir şey: hisse senedi ile ilgili ciddi bir sorun KitKat öncesi telefonlarda tarayıcı keşfedildi ve kötü amaçlı web sitelerinin diğerlerinin verilerine erişmesine izin verebilir web siteleri. Korkunç geliyor mu? İşte bilmeniz gerekenler

Sorun - ilk araştırmacı Rafay Baloch tarafından keşfedildi - Kötü amaçlı web sitelerinin, çerezlerin çalındığını görebilen diğer çerçevelere rastgele JavaScript enjekte edebildiğini veya web sitelerinin yapısına ve biçimlendirmesine doğrudan müdahale edildiğini görür.

Güvenlik araştırmacıları, popüler güvenlik testi çerçevesinin üreticisi Metasploit olan Rapid7 ile bu konuda endişe duyuyorlar. 'gizlilik kabusu' olarak nitelendiren. Nasıl çalıştığını, neden endişelenmeniz gerektiğini ve bu konuda ne yapabileceğinizi merak ediyorsunuz? Daha fazla bilgi için okumaya devam edin.

Temel Güvenlik İlkesi: Atlandı

Bu saldırının ilk etapta gerçekleşmesini önleyecek temel ilkeye Aynı Köken Politikası denir. Kısacası, bir web sitesinde çalışan istemci tarafı JavaScript'in başka bir web sitesine müdahale edemeyeceği anlamına gelir.

instagram viewer

Bu politika, 1995 yılında Netscape Navigator 2 ile ilk kez tanıtıldığından beri web uygulaması güvenliğinin temelini oluşturmuştur. Her web tarayıcısı bu politikayı temel bir güvenlik özelliği olarak uygulamıştır ve sonuç olarak vahşi doğada bu tür bir güvenlik açığını görmek inanılmaz derecede nadirdir.

SOP'un nasıl çalıştığı hakkında daha fazla bilgi için yukarıdaki videoyu izlemek isteyebilirsiniz. Bu, Almanya'daki bir OWASP (Açık Web Uygulaması Güvenlik Projesi) etkinliğinde alındı ​​ve şimdiye kadar gördüğüm protokolün en iyi açıklamalarından biri.

Bir tarayıcı SOP bypass saldırısına karşı savunmasız olduğunda, hasar için çok yer vardır. Bir saldırgan, kurbanın nerede olduğunu bulmak için HTML5 spesifikasyonuyla sunulan konum API'sini kullanarak çerezleri çalmak için mümkün olan her şeyi yapabilir.

Neyse ki, çoğu tarayıcı geliştiricisi bu tür saldırıları ciddiye almaktadır. Bu da 'vahşi doğada' böyle bir saldırı görmeyi daha da kayda değer kılıyor.

Saldırı Nasıl Çalışır?

Yani biliyoruz Aynı Kökenli Politika önemlidir. Ve stok Android tarayıcısında büyük bir başarısızlığın potansiyel olarak bu önemli güvenlik önlemini atlatmasına neden olabilecek saldırganlara yol açabileceğini biliyoruz? Ama nasıl çalışır?

Rafay Baloch tarafından verilen kavramın kanıtı şöyle:
[ARTIK MEVCUT DEĞİL]
Peki burada neyimiz var? Bir iFrame var. Bu, web sitelerinin başka bir web sayfasını başka bir web sayfasına yerleştirmesine izin vermek için kullanılan bir HTML öğesidir. Eskiden olduğu kadar kullanılmıyorlar, çünkü büyük ölçüde bir SEO kabusu Web sitenizi yok edebilecek 10 yaygın SEO hatası [Bölüm I] Daha fazla oku . Bununla birlikte, bunları sık sık zaman zaman bulursunuz ve bunlar hala HTML spesifikasyonunun bir parçasıdır ve henüz kullanımdan kaldırılmamıştır.

Aşağıdaki bir Temsil eden HTML etiketi bir giriş düğmesi. Bu, tıklandığında geçerli web sitesinin etki alanı adını veren bazı özel hazırlanmış JavaScript içerir (tra \ u0000 ’izleyen noktaya dikkat edin?). Bununla birlikte, Android tarayıcısındaki bir hata nedeniyle, iFrame'in özelliklerine erişir ve bir JavaScript uyarı kutusu olarak "rhaininfosec.com" yazdırılır.

android-html-saldırı

Google Chrome, Internet Explorer ve Firefox'ta bu tür saldırılar hata verir. Ayrıca (tarayıcıya bağlı olarak), JavaScript konsolunda tarayıcının saldırıyı engellediğini bildiren bir günlük oluşturur. Herhangi bir nedenden ötürü, Android 4.4 öncesi cihazlardaki stok tarayıcı bunu yapmaz.

android-html-konsol

Bir alan adı yazdırmak çok da şaşırtıcı değildir. Ancak, çerezlere erişim elde etmek ve başka bir web sitesinde rastgele JavaScript çalıştırmak oldukça endişe vericidir. Neyse ki, yapılabilecek bir şey var.

Ne yapılabilir?

Kullanıcıların burada birkaç seçeneği var. İlk olarak, stok Android tarayıcıyı kullanmayı bırakın. Eski, güvensiz ve şu anda piyasada çok daha çekici seçenekler var. Google'da Android için Chrome yayınlandı Google Chrome Sonunda Android İçin Başlıyor (Yalnızca ICS) [Haberler] Daha fazla oku (ancak yalnızca Ice Cream Sandwich ve sonraki sürümleri çalıştıran cihazlar için) ve Firefox ve Opera'nın mobil varyasyonları bile mevcuttur.

Firefox Mobile özellikle dikkat etmeye değer. İnanılmaz bir tarama deneyimi sunmanın yanı sıra, Mozilla’nın kendi mobil işletim sistemi Firefox OS için uygulamalar En İyi 15 Firefox OS Uygulaması: Yeni Firefox OS Kullanıcıları İçin Nihai ListeTabii bunun için bir uygulama var: Sonuçta bu web teknolojisi. Mozilla'nın yerel kod yerine HTML5, CSS3 ve JavaScript'i kullanan mobil işletim sistemi Firefox OS uygulamaları. Daha fazla oku , ayrıca bir harika eklentilerin zenginliği Android için En İyi 10 Firefox EklentisiAndroid'de Firefox'un en iyi yönlerinden biri eklenti desteğidir. Android için bu önemli Firefox eklentilerine göz atın. Daha fazla oku .

Özellikle paranoyak olmak istiyorsanız, Firefox Mobile için NoScript'in bir kısmı bile var. Ancak, çoğu web sitesinin büyük ölçüde bağımlı olduğuna dikkat edilmelidir. İstemci tarafı incelikleri oluşturmak için JavaScript JavaScript Nedir ve Nasıl Çalışır? [Açıklanan Teknoloji] Daha fazla oku ve NoScript kullanmak neredeyse çoğu web sitesini bozacaktır. Bu belki de James Bruce'un neden ‘şeytanın üçlüsü AdBlock, NoScript ve Ghostery - Kötülüğün ÜçlemesiGeçtiğimiz birkaç ay boyunca, rehberlerimizi indirmede sorun yaşayan çok sayıda okuyucu veya neden giriş düğmelerinin veya yorumların yüklenmediğini göremediklerini gördüm; ve... Daha fazla oku ‘.

Son olarak, mümkünse, Android işletim sisteminin en son sürümünü yüklemenin yanı sıra Android tarayıcınızı en son sürüme güncellemeniz önerilir. Bu, Google'ın bu hata için bir düzeltme yayınlaması durumunda, korunmanızı sağlar.

Bununla birlikte, şunu belirtmeye değer bu sorunun potansiyel olarak Android 4.4 KitKat kullanıcılarına vurabileceği gibi rumblingler var. Ancak, okuyuculara tarayıcıları değiştirmelerini tavsiye etmem için yeterince önemli hiçbir şey ortaya çıkmadı.

Önemli Bir Gizlilik Hatası

Hata yapma, bu bir büyük akıllı telefon güvenlik sorunu Akıllı Telefon Güvenliği Hakkında Bilmeniz Gerekenler Daha fazla oku . Ancak, farklı bir tarayıcıya geçerek neredeyse dokunulmaz olursunuz. Bununla birlikte, Android işletim sisteminin genel güvenliği hakkında bazı sorular devam etmektedir.

Biraz daha güvenli bir şeye mi geçeceksiniz? süper güvenli iOS Akıllı Telefon Güvenliği: iPhone'lar Kötü Amaçlı Yazılım Alabilir mi?"Binlerce" iPhone'u etkileyen kötü amaçlı yazılımlar, App Store kimlik bilgilerini çalabilir, ancak iOS kullanıcılarının çoğunluğu tamamen güvenlidir - bu yüzden iOS ve haydut yazılımlarla olan anlaşma nedir? Daha fazla oku veya (benim favorim) Blackberry 10 BlackBerry 10'a Bugün Denemek İçin 10 NedenBlackBerry 10'un karşı konulmaz bazı özellikleri var. İşte size bir şans vermek için on neden. Daha fazla oku ? Ya da belki de Android'e sadık kalacaksınız ve Paranoid Android gibi güvenli bir ROM yükleyeceksiniz veya Omirom OmniROM'u Android Cihazınıza Flaş Etmeniz İçin 5 NedenBir sürü özel ROM seçeneği ile, sadece bir tanesine yerleşmek zor olabilir - ama gerçekten OmniROM'u düşünmelisiniz. Daha fazla oku ? Ya da belki de bu kadar endişeli bile değilsiniz.

Bunun hakkında konuşalım. Yorumlar kutusu aşağıdadır. Düşüncelerinizi duymak için sabırsızlanıyorum.

Matthew Hughes, Liverpool, İngiltere'den bir yazılım geliştiricisi ve yazarıdır. Elinde bir fincan güçlü siyah kahve olmadan nadiren bulunur ve kesinlikle Macbook Pro ve kamerasına hayran kalır. Blogunu şurada okuyabilirsiniz: http://www.matthewhughes.co.uk ve @matthewhughes'da Twitter'da onu takip edin.