Mark Lucas
0 
1828
363
Henüz Android 4.4 KitKat’a yükseltme yaptınız mı? Geçişinizi yapmanız için size biraz cesaret verebilecek bir şey var: KitKat öncesi telefonlarda bulunan stok tarayıcıda ciddi bir sorun keşfedildi ve kötü amaçlı web sitelerinin diğer web sitelerinin verilerine erişmesine izin verebilir. Kulağa korkutucu mu geliyor? İşte bilmeniz gerekenler
İlk olarak araştırmacı Rafay Baloch tarafından keşfedilen sorun, kötü amaçlı web sitelerinin diğer JavaScript'lere rasgele JavaScript enjekte edebildiklerini, çerezlerin çalındığını veya web sitelerinin yapısını ve işaretlemesini doğrudan engellendiğini görüyor.
Güvenlik araştırmacıları bu konuda umutsuzca endişeleniyorlar, popüler güvenlik testi çerçevesinin yapımcıları olan Metasploit Rapid7 ile bunu 'gizemli bir kabus' olarak nitelendirdiler. Nasıl çalıştığını merak ediyor, neden endişeleniyor olmalısın ve bu konuda ne yapabilirsin? Daha fazlası için okumaya devam edin.
Temel Bir Güvenlik Prensibi: Atlandı
İlk başta bu saldırının gerçekleşmesini engellemesi gereken temel ilkeye Aynı Köken Politikası denir. Kısacası, bir web sitesinde çalışan müşteri tarafı JavaScript'in başka bir web sitesine müdahale edememesi gerektiği anlamına gelir.
Bu politika, ilk kez 1995'te Netscape Navigator 2 ile tanıtıldığından beri web uygulaması güvenliğinin temeli olmuştur. Her bir web tarayıcısı, bu politikayı, temel bir güvenlik özelliği olarak uygulamıştır ve sonuç olarak, bu durumun görülmesi oldukça nadirdir. vahşi doğada bir güvenlik açığı.
SOP'nin nasıl çalıştığı hakkında daha fazla bilgi için yukarıdaki videoyu izlemek isteyebilirsiniz. Bu, Almanya'daki bir OWASP (Açık Web Uygulama Güvenliği Projesi) etkinliğinde çekildi ve şu ana kadar gördüğüm protokolün en iyi açıklamalarından biriydi..
Bir tarayıcı bir SOP bypass saldırısına karşı savunmasız olduğunda, hasar için çok yer var. Bir saldırgan, bir kurbanın nerede olduğunu, çerezleri çalmanın yolunu bulmak için HTML5 spec ile tanıtılan konum API'sini kullanmaktan fizibil olarak her şeyi yapabilir.
Neyse ki, çoğu tarayıcı geliştiricisi bu tür saldırıları ciddiye alır. Bu, böyle bir saldırıyı 'vahşi doğada' görmeyi daha dikkat çekici kılıyor..
Saldırı Nasıl Çalışır?
Bu yüzden, Aynı Köken Politikasının önemli olduğunu biliyoruz. Ve biz Android tarayıcı hisse senedi büyük bir başarısızlık potansiyel olarak bu çok önemli güvenlik önlemi aşan saldırganlara yol açabileceğini biliyoruz? Ama nasıl çalışır?
Rafay Baloch'un verdiği kavramın kanıtı biraz şuna benziyor:
Peki burada neyimiz var? Bir iFrame var. Bu, web sitelerinin başka bir web sayfasına başka bir web sayfasına gömülmesine izin vermek için kullanılan bir HTML öğesidir. Onlar eskiden olduğu kadar kullanılmazlar, çünkü çoğunlukla bir SEO kabusu oldukları için Web Sitenizi İmha Edebilecek 10 Genel SEO Hatası [Bölüm I] Web Sitenizi İmha Edebilecek 10 Ortak SEO Hatası [Bölüm I]. Ancak, bunları zaman zaman hala sık sık buluyorsunuz ve bunlar hala HTML spesifikasyonunun bir parçası ve henüz onaylanmadı..
Bunun ardından bir giriş düğmesini temsil eden bir HTML etiketi bulunur. Bu, tıklandığında geçerli web sitesinin alan adını çıkaran bazı özel hazırlanmış JavaScript'ler ('\ u0000' izini sürüyor mu?)? Bununla birlikte, Android tarayıcısındaki bir hata nedeniyle, iFrame'in özelliklerine erişmeyi ve 'rhaininfosec.com' u bir JavaScript uyarı kutusu olarak yazdırmayı bitirir..
Google Chrome, Internet Explorer ve Firefox’ta, bu tür bir saldırı basit bir şekilde başarısız olur. Ayrıca (tarayıcıya bağlı olarak), JavaScript konsolunda tarayıcının saldırıyı engellediğini bildiren bir günlük oluşturur. Bunun dışında, bir nedenden ötürü, Android 4.4 öncesi cihazlardaki borsa tarayıcı bunu yapmaz.
Bir etki alanı adı yazdırmak çok şaşırtıcı değil. Ancak, çerezlere erişim kazanmak ve başka bir web sitesinde keyfi JavaScript uygulamak oldukça endişe vericidir. Neyse ki, yapılabilecek bir şey var..
Ne yapılabilir?
Kullanıcıların burada birkaç seçeneği var. Öncelikle, stok Android tarayıcısını kullanmayı bırakın. Eski, güvensiz ve şu anda piyasada çok daha zorlayıcı seçenekler var. Google, Android için Chrome'u Google Chrome'un Sonunda Android İçin Başlattı (Yalnızca ICS) [Haberler] Google Chrome, Android İçin Sonunda Başlattı (Yalnızca ICS) [Haberler] (yalnızca, yalnızca Ice Cream Sandwich ve üstü çalışan cihazlar için) ve mobil bile var Firefox ve Opera çeşitleri.
Özellikle Firefox Mobile'a dikkat etmeye değer. İnanılmaz bir tarama deneyimi sunmanın yanı sıra, Mozilla'nın kendi mobil işletim sistemi olan Firefox OS için uygulamaları çalıştırmanıza da izin veriyor Top 15 Firefox OS Uygulamaları: Yeni Firefox İşletim Sistemi Kullanıcıları İçin En İyi Liste Firefox OS Uygulamaları En İyi 15: Yeni İçin En İyi Liste Firefox OS Kullanıcıları Elbette bunun için bir uygulama var: Sonuçta web teknolojisi. Mozilla'nın mobil işletim sistemi Firefox OS, yerel kod yerine HTML5, CSS3 ve uygulamaları için JavaScript kullanıyor. , yanı sıra müthiş eklentiler bir zenginlik yüklemek yanı sıra Android cihazınızda Firefox İçin Kaçırılmayacak Eklentiler Android Cihazınızda Firefox İçin Kaçırılmayacak Eklentiler Android için Firefox'un bir hilesi var: Eklentiler. Firefox'un masaüstünde Chrome'dan daha güçlü bir uzantı sistemi sunması gibi, uzantıları destekleyerek Android için Chrome'u yener. Yükleyebilirsin… .
Özellikle paranoyak olmak istiyorsan, Firefox Mobile için bir NoScript portu bile var. Bununla birlikte, web sitelerinin çoğunun, müşteri tarafı nişanları oluşturmak için JavaScript'e büyük ölçüde bağımlı olduğu belirtilmelidir. JavaScript Nedir ve Nasıl Çalışır? [Teknoloji Açıklaması] JavaScript Nedir ve Nasıl Çalışır? [Teknoloji Açıklaması] ve NoScript kullanmak neredeyse kesinlikle çoğu web sitesini kıracak. Bu, belki de neden James Bruce'un bunu 'kötü AdBlock, NoScript & Ghostery üçlü "nin bir parçası olarak nitelendirdi - Kötülüğün Trifecta'sı AdBlock, NoScript ve Ghostery - Son birkaç aydır rehberlerimizi indirirken problem yaşayan ya da giriş düğmelerini ya da yükleme yapmayan yorumları göremeyen çok sayıda okuyucu; ve… '.
Son olarak, eğer mümkünse, Android işletim sisteminizin en son sürümünü kurmanın yanı sıra Android tarayıcınızı en son sürüme güncellemeniz istenecektir. Bu, Google’ın bu hata için düzeltmeyi daha da ileri sürmesi durumunda, korumanın korunmasını sağlar.
Bununla birlikte, bu sorunun potansiyel olarak Android 4.4 KitKat kullanıcılarına isabet edebileceği taktirleri olduğunu belirtmekte fayda var. Ancak, okuyuculara tarayıcıları değiştirmelerini tavsiye etmem için yeterince önemli bir şey ortaya çıkmadı..
Önemli Bir Gizlilik Hatası
Hata yapmayın, bu gerçekten büyük bir akıllı telefon güvenliği sorunudur Gerçekten Akıllı Telefon Güvenliği Hakkında Bilmeniz Gerekenler Gerçekten Akıllı Telefon Güvenliği Hakkında Bilmeniz Gerekenler. Bununla birlikte, farklı bir tarayıcıya geçerek, neredeyse yenilmez hale gelirsiniz. Bununla birlikte, Android işletim sisteminin genel güvenliği hakkında bir takım sorular devam etmektedir..
Süper güvenli iOS Smartphone Security gibi biraz daha güvenli bir şeye geçecek misiniz: iPhone'lar Kötü Amaçlı Yazılım Alabilir mi? Akıllı Telefon Güvenliği: iPhone'lar Kötü Amaçlı Yazılım Alabilir mi? İPhone'ları "binlerce" etkileyen kötü amaçlı yazılımlar App Store kimlik bilgilerini çalabilir, ancak iOS kullanıcılarının çoğu tamamen güvenlidir - peki iOS ve haydut yazılımı ile ne ilgisi var? veya (en sevdiğim) Blackberry 10 10 BlackBerry 10 A Verme Sebepleri Bugün A Deneyin Bugün 10 BlackBerry 10 A Verme Sebepleri Bugün Dene BlackBerry 10 oldukça dayanılmaz özelliklere sahip. İşte, neden denemek isteyebileceğinizin on nedeni. ? Belki de Android'e sadık kalacaksınız ve Paranoid Android veya Omirom 5 gibi güvenli bir ROM yüklüyorsunuz. Android Aygıtınıza OmniROM'u Neden Flashmelisiniz? 5 Android OmniROM'u Neden Kişiselleştirmelisiniz? orada, sadece bir tanesine yerleşmek zor olabilir - ama OmniROM'u gerçekten düşünmelisiniz. ? Belki de endişeli bile değilsin.
Bunun hakkında konuşalım. Yorumlar kutusu aşağıdadır. Düşüncelerini duymak için sabırsızlanıyorum.
