您是否要升级到Android 4.4 KitKat?这可能会给您带来一些改变的鼓励:发现KitKat之前的手机中的股票浏览器存在严重问题,它可能使恶意网站访问其他网站的数据。听起来吓人吗?这是您需要知道的
问题-由研究人员Rafay Baloch首次发现-发现恶意网站能够将任意JavaScript注入其他框架,这可能会发现Cookie被盗,或者恶意软件的结构和标记网站直接受到干扰。
安全研究人员对此极度担忧,Rapid7(流行的安全测试框架Metasploit的制造者)将其描述为“隐私梦m"。对它的工作原理,为什么要担心以及对此可以做什么感到好奇?继续阅读。
基本安全原则:绕过
首先应避免发生此攻击的基本原则称为“同源策略"。简而言之,这意味着在一个网站上运行的客户端JavaScript不应干扰另一个网站。
此政策自从最初引入该网站以来就一直是Web应用程序安全性的基础。 1995年使用Netscape Navigator2。每个Web浏览器都已将此策略作为基本的安全功能实施,因此,很难在野外看到这种漏洞。
有关如何操作的更多信息SOP有效,您不妨观看上面的视频。这是在德国的OWASP(开放式Web应用程序安全性项目)活动中拍摄的,这是迄今为止我所见协议的最佳解释之一。
当浏览器容易受到SOP绕过时攻击,还有很大的破坏空间。攻击者可以采取任何可行的措施,从使用HTML5规范引入的位置API找出受害者的位置,一直到窃取Cookie。
幸运的是,大多数浏览器开发人员都采取了这种攻击方式认真地。
这种攻击的工作原理
因此,我们知道“同源起源"政治非常重要。而且我们知道,现有的Android浏览器发生重大故障有可能导致攻击者规避这一至关重要的安全措施吗?但是它是如何工作的呢?
好吧,拉斐·巴洛赫(Rafay Baloch)给出的概念证明看起来像这样:
<iframe name="test" class="lazy" data-original="http://www.rhainfosec.com"></iframe> <input type=button value="test" onclick=“window.open('\u0000javascript:alert(document.domain)','test')"那么,我们在这里有什么?嗯,有一个iFrame。这是一个HTML元素,用于允许网站将另一个网页嵌入另一个网页中。它们没有像以前那样被广泛使用,很大程度上是因为它们是SEO的噩梦。但是,您仍然经常会不时发现它们,并且它们仍然是HTML规范的一部分,并且尚未被弃用。
以下是表示输入按钮的HTML标记。它包含一些特制的JavaScript(注意后跟“ \ u0000"吗?),当单击该JavaScript时,它会输出当前网站的域名。但是,由于Android浏览器中的错误,它最终访问了iFrame的属性,并最终将“ rhaininfosec.com"作为JavaScript警报框输出。
在Google Chrome浏览器上,Internet Explorer和Firefox,这种攻击只会出错。它(取决于浏览器)还会在JavaScript控制台中生成一条日志,通知浏览器阻止了攻击。除非出于某些原因,否则Android 4.4之前版本的设备上的常规浏览器无法执行此操作。
打印域名并不十分引人注目。但是,获得cookie的访问权限并在另一个网站中执行任意JavaScript却令人担忧。幸运的是,有一些事情可以做。
可以做什么?
用户在这里有一些选择。首先,停止使用现有的Android浏览器。它很旧,不安全,现在市场上还有更多引人注目的选择。 Google已发布了Android版Chrome(尽管仅适用于运行Ice Cream Sandwich及更高版本的设备),甚至还有Firefox和Opera的移动版本。
Firefox Mobile特别值得关注。除了提供出色的浏览体验外,它还允许您运行Mozilla自己的移动操作系统Firefox OS的应用程序。
如果您想变得特别偏执,甚至可以移植NoScript for Firefox Mobile。 。虽然,应该指出的是,大多数网站都非常依赖JavaScript来呈现客户端细节'。
最后,如果可能的话,建议您将Android浏览器更新到最新版本,除了安装最新版本的Android操作系统。这样可以确保Google进一步发布针对此错误的修复程序,您将受到保护。
尽管值得注意的是,有传言称此问题可能会打击Android 4.4 KitKat用户。但是,没有什么东西足以让我建议读者切换浏览器。
主要的隐私错误
请不要误解,这是智能手机的主要安全问题。但是,通过切换到其他浏览器,您几乎变得无敌了。但是,关于Android操作系统的整体安全性,还有许多问题。
您是否将切换到更安全的东西,例如超级安全的iOS?也许您甚至都不担心。
标签:
