Skelbimas
Ar dar naujovinate į „Android 4.4 KitKat“? Štai kažkas, kas gali jus šiek tiek paskatinti pereiti: rimta akcijų problema „KitKat“ telefonuose buvo aptikta naršyklė ir ji galėjo leisti kenksmingoms svetainėms pasiekti kitų asmenų duomenis interneto svetainėse. Skamba baisiai? Štai ką reikia žinoti
Klausimas - kuris buvo pirmą kartą atrado tyrėjas Rafay Baloch - mato, kad kenkėjiškos svetainės gali įterpti savavališką „JavaScript“ į kitus rėmus, kuriuose gali būti pavogti slapukai arba tiesiogiai trikdoma svetainių struktūra ir žymėjimas.
Saugumo tyrinėtojai dėl to be galo nerimauja, nes „Rapid7“ - populiarios saugumo bandymų sistemos „Metasploit“ kūrėjai - apibūdinant tai kaip „privatumo košmarą“. Įdomu, kaip tai veikia, kodėl turėtumėte jaudintis ir ką galite dėl to padaryti? Skaitykite daugiau.
Pagrindinis saugumo principas: apeinamas
Pagrindinis principas, kuris visų pirma turėtų užkirsti kelią šiam išpuoliui, yra vadinamas tos pačios kilmės politika. Trumpai tariant, tai reiškia, kad vienoje svetainėje veikiantis kliento „JavaScript“ neturėtų trukdyti kitai svetainei.
Ši politika buvo žiniatinklio programų saugumo pagrindas nuo tada, kai ji pirmą kartą buvo pristatyta 1995 m. Su „Netscape Navigator 2“. Kiekviena interneto naršyklė įgyvendino šią politiką kaip pagrindinę saugos funkciją, todėl neįtikėtinai retai galima pamatyti tokį pažeidžiamumą gamtoje.
Norėdami gauti daugiau informacijos apie tai, kaip veikia SOP, galite pažiūrėti aukščiau pateiktą vaizdo įrašą. Tai buvo padaryta OWASP („Open Web App Security Project“) renginyje Vokietijoje ir yra vienas iš geriausių protokolo, kurį mačiau iki šiol, paaiškinimų.
Kai naršyklę pažeidžia SOP aplinkkelio ataka, padaryta daug žalos. Užpuolikas gali padaryti bet ką, pradedant naudoti vietos API, įvestą kartu su HTML5 specifikacija, kad sužinotų, kur yra auka, iki pat slapukų pavogimo.
Laimei, dauguma naršyklių kūrėjų į tokio tipo atakas žiūri rimtai. Dėl ko dar labiau svarbu pastebėti tokį išpuolį „gamtoje“.
Kaip veikia ataka
Taigi, mes žinome Svarbu tos pačios kilmės poliškumas. Ir mes žinome, kad masinis „Android“ naršyklės gedimas gali paskatinti užpuolikus apeiti šią svarbią saugumo priemonę? Bet kaip tai veikia?
Na, Rafay Baloch pateiktas koncepcijos įrodymas atrodo šiek tiek taip:
[NEBEPRIEINAMAS]
Taigi, ką mes čia turime? Na, yra „iFrame“. Tai yra HTML elementas, naudojamas svetainėms leisti įterpti kitą tinklalapį į kitą tinklalapį. Jie naudojami ne tiek, kiek anksčiau, daugiausia dėl to, kad yra SEO košmaras 10 dažniausiai pasitaikančių SEO klaidų, kurios gali sunaikinti jūsų svetainę [I dalis] Skaityti daugiau . Tačiau jūs vis dar dažnai juos randate retkarčiais, jie vis dar yra HTML specifikacijos dalis ir dar nėra pasenę.
Po to yra HTML žyma, vaizduojanti įvesties mygtukas. Jame yra keletas specialiai sukurtų „JavaScript“ (pastebite, kad užrašai „\ u0000“?), Kurie spustelėjus išveda dabartinės svetainės domeno vardą. Tačiau dėl klaidos „Android“ naršyklėje ji pasiekia „iFrame“ atributus ir spausdina „rhaininfosec.com“ kaip „JavaScript“ įspėjimo lauką.
„Google Chrome“, „Internet Explorer“ ir „Firefox“ šios rūšies išpuoliai tiesiog suklys. Taip pat (atsižvelgiant į naršyklę) „JavaScript“ konsolėje bus pateiktas žurnalas, informuojantis, kad naršyklė užblokavo išpuolį. Išskyrus tai, kad dėl tam tikrų priežasčių atsargų naršyklė įrenginiuose, kuriuose yra „4.4“ ankstesnė versija, to nedaro.
Domeno vardo spausdinimas nėra labai įspūdingas. Tačiau patekti į slapukus ir vykdyti savavališką „JavaScript“ programą kitoje svetainėje yra gana neramu. Laimei, yra kažkas, ką galima padaryti.
Ką galima padaryti?
Čia vartotojai turi keletą galimybių. Pirmiausia nustokite naudoti „Android“ naršyklę. Jis yra senas, nesaugus ir šiuo metu rinkoje yra daug patrauklesnių variantų. „Google“ turi išleido „Android“ skirtą „Chrome“ Pagaliau paleista „Google Chrome“, skirta „Android“ (tik ICS) [Naujienos] Skaityti daugiau (nors, tik įrenginiams, kuriuose veikia „Ice Cream Sandwich“ ir naujesnės versijos) ir yra net mobiliųjų „Firefox“ ir „Opera“ variantų.
Ypač verta atkreipti dėmesį į „Firefox Mobile“. Tai ne tik siūlo nuostabų naršymą, bet ir leidžia paleisti „Mozilla“ mobiliosios operacinės sistemos, „Firefox OS“, programos 15 populiariausių „Firefox“ OS programų: svarbiausias sąrašas naujų „Firefox“ OS vartotojųŽinoma, yra tam skirta programa: juk tai žiniatinklio technologija. „Mozilla“ mobilioji operacinė sistema „Firefox“ OS, kuri vietoj natūrinio kodo savo programoms naudoja HTML5, CSS3 ir „JavaScript“. Skaityti daugiau , taip pat įdiekite gausybė nuostabių priedų 10 geriausių „Firefox“ priedų, skirtų „Android“Vienas geriausių „Firefox“ aspektų „Android“ yra jo priedų palaikymas. Peržiūrėkite šiuos svarbiausius „Android“ skirtus „Firefox“ priedus. Skaityti daugiau .
Jei norite būti ypač paranojikas, netgi yra „NoScript“ perkėlimas į „Firefox Mobile“. Nors reikėtų pažymėti, kad dauguma svetainių yra labai priklausomos „JavaScript“ kliento malonumui suteikti Kas yra „JavaScript“ ir kaip tai veikia? [Technologijos paaiškinta] Skaityti daugiau , o naudojant „NoScript“ beveik neabejotinai sužlugdysite daugumą svetainių. Galbūt tai paaiškina, kodėl Jamesas Bruce'as apibūdino tai kaip „blogybė „AdBlock“, „NoScript“ ir „Ghostery“ - „Blogo triukas“Per pastaruosius kelis mėnesius su manimi susisiekė daugybė skaitytojų, kuriems buvo sunku atsisiųsti mūsų vadovus arba kodėl jie nemato prisijungimo mygtukų ar komentarų, kurie nėra įkeliami; ir į... Skaityti daugiau ‘.
Galiausiai, jei įmanoma, būsite paraginti atnaujinti „Android“ naršyklę į naujausią versiją, taip pat įdiegti naujausią „Android“ operacinės sistemos versiją. Tai užtikrins, kad jei „Google“ išleis šios klaidos pataisą toliau, esate apsaugoti.
Nepaisant to, verta į tai atkreipti dėmesį yra klaidinimų, kad ši problema gali paveikti „Android 4.4 KitKat“ „Android“ vartotojus. Tačiau neatsirado nieko tokio, kas man patartų skaitytojus pakeisti naršykles.
Pagrindinė privatumo klaida
Nesuklyskite, tai yra a pagrindinė išmaniųjų telefonų saugumo problema Ką tikrai reikia žinoti apie išmaniųjų telefonų apsaugą Skaityti daugiau . Tačiau perjungę į kitą naršyklę jūs tampate praktiškai nepažeidžiami. Tačiau išlieka nemažai klausimų apie bendrą „Android“ operacinės sistemos saugumą.
Ar pereisite prie kažkokio šiek tiek saugesnio, pvz ypač saugi „iOS“ Išmaniųjų telefonų sauga: ar „iPhone“ gali gauti kenkėjiškų programų?Kenkėjiška programinė įranga, paveikianti „tūkstančius“ „iPhone“ telefonų, gali pavogti „App Store“ kredencialus, tačiau dauguma „iOS“ vartotojų yra visiškai saugūs - taigi, ką daryti su „iOS“ ir nesąžininga programine įranga? Skaityti daugiau arba (mano mėgstamiausia) gervuogių 10 10 priežasčių, kodėl verta leisti „BlackBerry 10“, išbandykite šiandien„BlackBerry 10“ turi keletą gana nenugalimų savybių. Čia yra dešimt priežasčių, dėl kurių galbūt norėsite tai padaryti. Skaityti daugiau ? O gal liksite ištikimi „Android“ ir įdiegsite saugų ROM, tokį kaip „Paranoid Android“ ar „Android“ Omirom 5 priežastys, kodėl turėtumėte „Flash OmniROM“ naudoti „Android“ įrenginyjeTurėdami daugybę pasirinktinių ROM variantų, gali būti sunku susitarti dėl vieno - bet jūs tikrai turėtumėte apsvarstyti „OmniROM“. Skaityti daugiau ? O gal net nesijaudinai.
Pakalbėkime apie tai. Komentarų laukas yra žemiau. Negaliu laukti, kol išgirsiu tavo mintis.
Matthew Hughes yra programinės įrangos kūrėjas ir rašytojas iš Liverpulio, Anglijos. Jis retai randamas be stiprios juodos kavos puodelio rankoje ir absoliučiai dievina savo „Macbook Pro“ ir fotoaparatą. Jo dienoraštį galite perskaityti http://www.matthewhughes.co.uk ir sekite jį „Twitter“ adresu @matthewhughes.
