Êtes-vous encore à mettre à niveau vers Android 4.4 KitKat? Voici quelque chose qui pourrait vous encourager à faire le changement: un problème sérieux avec le navigateur d'actions sur les téléphones pré-KitKat a été découvert, et cela pourrait permettre à des sites Web malveillants d'accéder aux données d'autres sites Web. Ça fait peur? Voici ce que vous devez savoir
Le problème - qui a été découvert par le chercheur Rafay Baloch - voit des sites web malveillants capables d'injecter du JavaScript arbitraire dans d'autres cadres, qui pourraient voir des cookies volés, ou la structure et le balisage des sites Web directement interférés.
Les chercheurs en sécurité sont désespérément inquiets à ce sujet, avec Rapid7 - les concepteurs du célèbre framework de tests de sécurité, Metasploit - le décrivant comme un «cauchemar de la vie privée». Curieux de savoir comment cela fonctionne, pourquoi vous devriez être inquiet, et ce que vous pouvez faire à ce sujet? Lisez la suite pour plus.
Un principe de sécurité de base: contourné
Le principe de base qui devrait empêcher que cette attaque ne se produise en premier lieu s'appelle la même politique d'origine. En bref, cela signifie que le JavaScript côté client exécuté sur un site Web ne devrait pas pouvoir interférer avec un autre site Web.
Cette politique est à la base de la sécurité des applications Web, depuis sa création en 1995 avec Netscape Navigator 2. Chaque navigateur Web a mis en œuvre cette politique, en tant que caractéristique de sécurité fondamentale, et il est incroyablement rare de voir une vulnérabilité dans la nature.
Pour plus d'informations sur le fonctionnement de SOP, vous pouvez regarder la vidéo ci-dessus. Cela a été pris lors d'un événement OWASP (Open Web App Security Project) en Allemagne, et est l'une des meilleures explications du protocole que j'ai vu jusqu'à présent.
Lorsqu'un navigateur est vulnérable à une attaque de contournement SOP, il y a beaucoup de place pour les dégâts. Un attaquant pourrait faire n'importe quoi, depuis l'API de localisation introduite avec la spécification HTML5 pour savoir où se trouve une victime, jusqu'à voler des cookies.
Heureusement, la plupart des développeurs de navigateurs prennent ce type d'attaque au sérieux. Ce qui rend d'autant plus remarquable une telle attaque «dans la nature».
Comment fonctionne l'attaque
Donc, nous savons que la même origine est importante. Et nous savons qu'un échec massif du navigateur Android stock peut potentiellement conduire à des attaquants contournant cette mesure de sécurité cruciale? Mais comment ça fonctionne?
Eh bien, la preuve de concept donnée par Rafay Baloch ressemble un peu à ceci:
Alors, qu'avons-nous ici? Eh bien, il y a un iFrame. Il s'agit d'un élément HTML utilisé pour permettre aux sites Web d'intégrer une autre page Web dans une autre page Web. Ils ne sont pas utilisés autant qu'ils étaient, en grande partie parce qu'ils sont un cauchemar SEO 10 erreurs SEO communes qui peuvent détruire votre site Web [Partie I] 10 erreurs SEO communes qui peuvent détruire votre site Web [Partie I] Lire la suite. Cependant, vous les trouvez toujours de temps en temps, et ils font toujours partie de la spécification HTML et n'ont pas encore été dépréciés.
Ensuite, une balise HTML représentant un bouton d'entrée. Cela contient du code JavaScript spécialement conçu (notez que '\ u0000'?) Qui, une fois cliqué, affiche le nom de domaine du site actuel. Cependant, en raison d'une erreur dans le navigateur Android, il finit par accéder aux attributs de l'iFrame, et finit par imprimer 'rhaininfosec.com' comme une boîte d'alerte JavaScript.
Sur Google Chrome, Internet Explorer et Firefox, ce type d'attaque ferait simplement une erreur. Il (en fonction du navigateur) produirait également un journal dans la console JavaScript informant que le navigateur avait bloqué l'attaque. Sauf, pour une raison quelconque, le navigateur d'actions sur les appareils pré-Android 4.4 ne le fait pas.
Imprimer un nom de domaine n'est pas vraiment spectaculaire. Cependant, l'accès aux cookies et l'exécution de JavaScript arbitraire sur un autre site sont plutôt inquiétants. Heureusement, il y a quelque chose qui peut être fait.
Ce qui peut être fait?
Les utilisateurs ont quelques options ici. Tout d'abord, arrêtez d'utiliser le navigateur Android stock. Il est vieux, il n'est pas sûr et il y a des options beaucoup plus convaincantes sur le marché en ce moment. Google a enfin publié Chrome pour Android Google Chrome enfin lancé pour Android (ICS uniquement) [Nouvelles] Google Chrome enfin lancé pour Android (ICS uniquement) [News] Lire la suite (bien que, seulement pour les appareils fonctionnant Ice Cream Sandwich et plus), et il y a même des variantes mobiles de Firefox et d'Opera disponibles.
Firefox Mobile en particulier mérite d'être pris en compte. En plus d'offrir une expérience de navigation incroyable, il vous permet également d'exécuter des applications pour le système d'exploitation mobile de Mozilla, Firefox OS Top 15 Firefox OS Apps: La liste ultime pour les nouveaux utilisateurs de Firefox OS Top 15 Firefox OS Apps: La liste ultime pour Utilisateurs de Firefox OS Bien sûr, il y a une application pour ça: c'est la technologie web après tout. Système d'exploitation mobile de Mozilla Firefox OS qui, au lieu du code natif, utilise HTML5, CSS3 et JavaScript pour ses applications. Lire la suite, ainsi que d'installer une multitude d'add-ons impressionnants Addons incontournables pour Firefox sur votre appareil Android Addons incontournables pour Firefox sur votre appareil Android Firefox pour Android a un tour dans sa manche: Add-ons. Tout comme Firefox offre un système d'extension plus puissant que Chrome sur le bureau, il bat Chrome pour Android en prenant en charge les extensions. Vous pouvez installer ... Lire la suite.
Si vous voulez être particulièrement paranoïaque, il y a même un portage de NoScript pour Firefox Mobile. Bien, il convient de noter que la plupart des sites Web sont fortement dépendants de JavaScript pour le rendu des subtilités côté client Qu'est-ce que JavaScript et comment ça marche? [Technologie expliquée] Qu'est-ce que JavaScript et comment ça marche? [Technologie expliquée] En savoir plus, et l'utilisation de NoScript va presque certainement casser la plupart des sites Web. Cela explique peut-être pourquoi James Bruce l'a décrit comme faisant partie du «Trifecta du mal AdBlock, NoScript & Ghostery - Le Trifecta du Mal AdBlock, NoScript & Ghostery - Le Trifecta du Mal Au cours des derniers mois, j'ai été contacté par un bon nombre de lecteurs qui ont eu des problèmes pour télécharger nos guides, ou pourquoi ils ne voient pas les boutons de connexion ou les commentaires ne se chargeant pas; et dans ... Lire la suite '.
Enfin, si possible, vous serez encouragé à mettre à jour votre navigateur Android à la dernière version, en plus d'installer la dernière version du système d'exploitation Android. Cela garantit que si Google publie un correctif pour ce bug plus bas sur la ligne, vous êtes protégé.
Bien, il est à noter qu'il existe des rumeurs que ce problème pourrait potentiellement toucher les utilisateurs d'Android 4.4 KitKat. Cependant, rien n'est apparu suffisamment important pour que je puisse conseiller aux lecteurs de changer de navigateur.
Un bug de confidentialité majeur
Ne vous méprenez pas, il s'agit d'un problème majeur de sécurité smartphone Ce que vous devez vraiment savoir sur la sécurité Smartphone Ce que vous devez vraiment savoir sur la sécurité Smartphone Lire la suite. Cependant, en passant à un navigateur différent, vous devenez virtuellement invulnérable. Cependant, un certain nombre de questions demeurent sur la sécurité globale du système d'exploitation Android.
Serez-vous passer à quelque chose d'un peu plus sûr, comme la sécurité iOS Smartphone super-sécurisé: Peut iPhones Get Malware? Smartphone Security: les iPhones peuvent-ils être infectés par des logiciels malveillants? Les logiciels malveillants affectant «des milliers» d'iPhones peuvent voler les informations d'identification de l'App Store, mais la majorité des utilisateurs d'iOS sont parfaitement en sécurité - alors, quel est le problème avec iOS et les logiciels malveillants? Lire la suite ou (mon préféré) Blackberry 10 10 raisons de donner BlackBerry 10 A essayer aujourd'hui 10 raisons de donner BlackBerry 10 A essayer aujourd'hui BlackBerry 10 a quelques fonctionnalités assez irrésistible. Voici dix raisons pour lesquelles vous pourriez vouloir essayer. Lire la suite ? Ou peut-être resterez-vous fidèle à Android, et l'installation d'une ROM sécurisée comme Paranoid Android ou Omirom 5 raisons pour lesquelles vous devez Flash OmniROM à votre appareil Android 5 raisons pour lesquelles vous devez OmniROM Flash sur votre appareil Android Avec un tas d'options ROM personnalisées là, il peut être difficile de se contenter d'un seul - mais vous devriez vraiment considérer OmniROM. Lire la suite ? Ou peut-être que vous n'êtes même pas si inquiet.
Parlons-en à ce sujet. La boîte de commentaires est ci-dessous. Je ne peux pas attendre pour entendre vos pensées.