Page d'accueil Android Ce bug de navigateur Android vous obligera à passer à KitKat

Ce bug de navigateur Android vous obligera à passer à KitKat

  • Michael Cain
  • 0
  • 4500
  • 1177
Publicité

Êtes-vous encore sur le point de passer à Android 4.4 KitKat? Voici quelque chose qui pourrait vous donner un peu d'encouragement pour effectuer le changement: un problème sérieux a été découvert avec le navigateur stock sur les téléphones pré-KitKat, qui pourrait permettre à des sites Web malveillants d'accéder aux données d'autres sites. Ça fait peur? Voici ce que vous devez savoir

Le problème - découvert pour la première fois par le chercheur Rafay Baloch - montre que des sites Web malveillants peuvent injecter du code JavaScript arbitraire dans d'autres cadres, ce qui peut entraîner le vol de cookies ou l'interférence directe entre la structure et le balisage de sites Web..

Les chercheurs en sécurité s’inquiètent désespérément de cette situation. Rapid7, le fabricant du très populaire système de test de sécurité Metasploit, le décrit comme un «cauchemar en matière de protection de la vie privée». Curieux de savoir comment cela fonctionne, pourquoi vous devriez vous inquiéter et ce que vous pouvez faire pour y remédier? Lire la suite pour plus.

Un principe de sécurité de base: contourné

Le principe de base qui devrait empêcher cette attaque de se produire en premier lieu est appelé politique de même origine. En bref, cela signifie que le code JavaScript côté client exécuté sur un site Web ne doit pas pouvoir interférer avec un autre site Web..

Cette politique constitue la base de la sécurité des applications Web depuis son introduction en 1995 avec Netscape Navigator 2. Chaque navigateur Web a mis en œuvre cette politique, en tant que caractéristique de sécurité fondamentale. Il est donc extrêmement rare qu’une telle une vulnérabilité à l'état sauvage.

Pour plus d'informations sur le fonctionnement de SOP, vous pouvez visionner la vidéo ci-dessus. Cela a été pris lors d'un événement OWASP (Projet de sécurité Open Web App) en Allemagne et constitue l'une des meilleures explications du protocole que j'ai vu jusqu'à présent..

Lorsqu'un navigateur est vulnérable à une attaque par contournement des SOP, les dégâts sont nombreux. Un attaquant pourrait pratiquement faire n'importe quoi, qu'il s'agisse d'utiliser l'API d'emplacement introduite dans la spécification HTML5 pour localiser la victime ou de voler des cookies..

Heureusement, la plupart des développeurs de navigateurs prennent ce type d’attaque au sérieux. Ce qui rend d'autant plus remarquable de voir une telle attaque "à l'état sauvage".

Comment fonctionne l'attaque

Donc, nous savons que la même origine est importante. Et nous savons qu’un échec massif du navigateur Android en stock peut potentiellement amener les attaquants à contourner cette mesure de sécurité cruciale. Mais comment ça marche?

Eh bien, la preuve de concept donnée par Rafay Baloch ressemble un peu à ceci:

 
Alors, qu'est-ce qu'on a ici? Eh bien, il y a un iFrame. Il s'agit d'un élément HTML utilisé pour permettre aux sites Web d'intégrer une autre page Web dans une autre page Web. Ils ne sont plus utilisés autant qu'auparavant, en grande partie parce qu'ils sont un cauchemar pour le référencement. 10 erreurs communes en matière de référencement qui peuvent détruire votre site Web [Partie I] 10 erreurs en matière de référencement communes qui peuvent détruire votre site Web [partie I]. Cependant, vous les trouvez souvent de temps en temps, et ils font toujours partie de la spécification HTML et ne sont pas encore obsolètes..
Suit une balise HTML représentant un bouton de saisie. Celui-ci contient du code JavaScript spécialement conçu (notant la mention '\ u0000'?) Qui, lorsque vous cliquez dessus, affiche le nom de domaine du site Web actuel. Cependant, en raison d'une erreur dans le navigateur Android, celui-ci finit par accéder aux attributs de l'iFrame, puis en imprimant "rhaininfosec.com" sous forme de boîte d'alerte JavaScript..
Sur Google Chrome, Internet Explorer et Firefox, ce type d'attaque serait tout simplement une erreur. Selon le navigateur utilisé, il aurait également généré un journal dans la console JavaScript, indiquant que le navigateur avait bloqué l'attaque. Sauf pour une raison quelconque, le navigateur de stock sur les appareils antérieurs à Android 4.4 ne le fait pas.
Imprimer un nom de domaine n'est pas vraiment spectaculaire. Cependant, avoir accès aux cookies et exécuter du code JavaScript arbitraire sur un autre site Web est plutôt inquiétant. Heureusement, il y a quelque chose qui peut être fait.
Ce qui peut être fait?
Les utilisateurs ont quelques options ici. Tout d'abord, arrêtez d'utiliser le navigateur stock Android. C'est vieux, c'est peu sûr et il y a beaucoup plus d'options convaincantes sur le marché en ce moment. Google lance Chrome pour Android Google Chrome enfin lancé pour Android (ICS uniquement) [Actualités] Google Chrome enfin lancé pour Android (ICS uniquement) [Actualités] (bien que, uniquement pour les appareils utilisant Ice Cream Sandwich et versions ultérieures), et il y a même mobile variantes de Firefox et Opera disponibles.
Firefox Mobile en particulier mérite une attention particulière. En plus d'offrir une expérience de navigation incroyable, il vous permet également d'exécuter des applications pour le système d'exploitation mobile de Mozilla, à savoir Firefox OS Les 15 meilleures applications pour Firefox OS: la liste ultime pour les nouveaux utilisateurs de Firefox OS Les 15 meilleures applications pour OS Firefox: la liste ultime pour les nouvelles Utilisateurs de Firefox OS Bien sûr, il existe une application pour cela: c'est la technologie Web, après tout. Le système d'exploitation mobile de Mozilla, Firefox OS, qui, au lieu du code natif, utilise HTML5, CSS3 et JavaScript pour ses applications. , ainsi que d’installer une profusion d’add-ons impressionnants Addons incontournables pour Firefox sur votre appareil Android Addons immanquables pour Firefox sur votre appareil Android Firefox pour Android a un tour dans son sac: les add-ons. Tout comme Firefox offre un système d’extension plus puissant que Chrome sur le bureau, il bat Chrome pour Android en prenant en charge les extensions. Vous pouvez installer…    .
Si vous voulez être particulièrement paranoïaque, il existe même un portage de NoScript pour Firefox Mobile. Cependant, il convient de noter que la plupart des sites Web dépendent fortement de JavaScript pour rendre les subtilités côté client. Qu'est-ce que JavaScript et comment ça marche? [Technologie expliquée] Qu'est-ce que JavaScript et comment ça marche? [Technology Explained], et l’utilisation de NoScript va certainement casser la plupart des sites Web. Cela explique peut-être pourquoi James Bruce l’a décrite comme faisant partie de la "trifecta du diable AdBlock, NoScript & Ghostery - Le Trifecta du mal AdBlock, NoScript & Ghostery - Le Trifecta du Mal Au cours des derniers mois, j’ai pris contact avec un bon nombre de lecteurs qui ont eu des problèmes pour télécharger nos guides, ou pourquoi ils ne peuvent pas voir les boutons de connexion ou les commentaires qui ne se chargent pas; et en…    '.
Enfin, si possible, vous seriez encouragé à mettre à jour votre navigateur Android vers la dernière version, en plus d'installer la dernière version du système d'exploitation Android. Cela garantit que si Google publie un correctif pour ce bogue plus tard, vous êtes protégé.
Cependant, il convient de noter que ce problème pourrait toucher les utilisateurs d'Android 4.4 KitKat. Cependant, rien n'a été suffisamment développé pour que je conseille aux lecteurs de changer de navigateur..
Un bug majeur de la vie privée
Ne vous y trompez pas, il s'agit d'un problème de sécurité majeur pour les smartphones. Ce que vous devez vraiment savoir sur la sécurité des smartphones Ce que vous devez absolument savoir sur la sécurité des smartphones. Cependant, en passant à un autre navigateur, vous devenez pratiquement invulnérable. Cependant, un certain nombre de questions demeurent sur la sécurité globale du système d'exploitation Android..
Allez-vous passer à quelque chose d'un peu plus sécurisé, comme le super-sécurisé des smartphones iOS: les iPhones peuvent-ils obtenir des logiciels malveillants? Sécurité des téléphones intelligents: les iPhones peuvent-ils obtenir un logiciel malveillant? Les logiciels malveillants affectant des "milliers" d'iPhones peuvent dérober les informations d'identification de l'App Store, mais la majorité des utilisateurs d'iOS sont parfaitement sûrs. Alors, quel est le problème avec iOS et les logiciels non fiables? ou (mon préféré) Blackberry 10 10 raisons de donner à BlackBerry 10 A Essayer aujourd'hui 10 raisons de donner à BlackBerry 10 A Essayer aujourd'hui BlackBerry 10 a des caractéristiques assez irrésistibles. Voici dix raisons pour lesquelles vous voudrez peut-être essayer. ? Ou peut-être resterez-vous fidèle à Android et installerez-vous une ROM sécurisée comme Paranoid Android ou Omirom 5 raisons pour lesquelles vous devez flasher OmniROM sur votre appareil Android 5 raisons pour lesquelles vous devez flasher OmniROM sur votre appareil Android avec de nombreuses options de ROM personnalisées là, il peut être difficile de s’en tenir à un seul, mais vous devriez vraiment considérer OmniROM. ? Ou peut-être que vous n'êtes même pas inquiet.
Parlons-en. La boîte de commentaires est ci-dessous. J'ai hâte d'entendre tes pensées.



Personne n'a encore commenté ce post.

Comment faire de Notepad ++ comparer deux fichiers avec un plugin
Productivité
5 façons de supprimer la mise en forme lorsque vous copiez et collez du texte
Productivité
Comment commencer à utiliser Google Documents sur des appareils mobiles
Productivité
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.