Publicité

Vous n'avez pas encore mis à niveau vers Android 4.4 KitKat? Voici quelque chose qui pourrait vous encourager un peu à faire le changement: un problème sérieux avec le stock navigateur sur les téléphones pré-KitKat a été découvert, et il pourrait permettre à des sites Web malveillants d'accéder aux données d'autres sites Internet. Ça fait peur? Voici ce que vous devez savoir

La question - qui était découvert pour la première fois par le chercheur Rafay Baloch - voit des sites Web malveillants capables d'injecter du JavaScript arbitraire dans d'autres cadres, ce qui pourrait voir des cookies volés, ou la structure et le balisage de sites Web directement interférés.

Les chercheurs en sécurité sont désespérément préoccupés par cela, avec Rapid7 - les fabricants du cadre de test de sécurité populaire, Metasploit - le décrivant comme un «cauchemar de la vie privée». Vous voulez savoir comment cela fonctionne, pourquoi vous devriez vous inquiéter et ce que vous pouvez y faire? Lisez la suite pour en savoir plus.

Un principe de sécurité de base: contourné

Le principe de base qui devrait empêcher cette attaque de se produire en premier lieu s'appelle la même politique d'origine. En bref, cela signifie que le JavaScript côté client exécuté sur un site Web ne devrait pas pouvoir interférer avec un autre site Web.

Cette politique est à la base de la sécurité des applications Web, depuis son introduction en 1995 avec Netscape Navigator 2. Chaque navigateur Web a mis en œuvre cette politique, en tant que fonctionnalité de sécurité fondamentale, et en conséquence, il est incroyablement rare de voir une telle vulnérabilité à l'état sauvage.

Pour plus d'informations sur le fonctionnement des SOP, vous pouvez regarder la vidéo ci-dessus. Cela a été pris lors d'un événement OWASP (Open Web App Security Project) en Allemagne, et est l'une des meilleures explications du protocole que j'ai vues jusqu'à présent.

Lorsqu'un navigateur est vulnérable à une attaque de contournement SOP, il y a beaucoup de place pour les dommages. Un attaquant pourrait faire n'importe quoi, de l'utilisation de l'API de localisation introduite avec la spécification HTML5 pour savoir où se trouve une victime, jusqu'au vol de cookies.

Heureusement, la plupart des développeurs de navigateurs prennent au sérieux ce type d'attaque. Ce qui rend d'autant plus remarquable de voir une telle attaque «à l'état sauvage».

Comment fonctionne l'attaque

Donc on sait La même origine est importante. Et nous savons qu'un échec massif du navigateur Android d'origine peut potentiellement conduire des attaquants à contourner cette mesure de sécurité cruciale? Mais comment ça fonctionne?

Eh bien, la preuve de concept donnée par Rafay Baloch ressemble un peu à ceci:
[PLUS DISPONIBLE]
Alors, qu'avons-nous ici? Eh bien, il y a un iFrame. Il s'agit d'un élément HTML utilisé pour permettre aux sites Web d'incorporer une autre page Web dans une autre page Web. Ils ne sont pas autant utilisés qu’avant, en grande partie parce qu’ils sont un cauchemar SEO 10 erreurs SEO courantes qui peuvent détruire votre site Web [Partie I] Lire la suite . Cependant, vous les trouvez souvent de temps en temps, et ils font toujours partie de la spécification HTML et ne sont pas encore obsolètes.

Après c'est un Balise HTML représentant un bouton d'entrée. Celui-ci contient du JavaScript spécialement conçu (notez que «\ u0000» à la fin?) Qui, lorsque vous cliquez dessus, génère le nom de domaine du site Web actuel. Cependant, en raison d'une erreur dans le navigateur Android, il finit par accéder aux attributs de l'iFrame et finit par imprimer «rhaininfosec.com» comme une boîte d'alerte JavaScript.

android-html-attack

Sur Google Chrome, Internet Explorer et Firefox, ce type d'attaque serait simplement une erreur. Cela (en fonction du navigateur) produirait également un journal dans la console JavaScript informant que le navigateur a bloqué l'attaque. Sauf que, pour une raison quelconque, le navigateur de stock sur les appareils antérieurs à Android 4.4 ne fait pas cela.

android-html-console

L'impression d'un nom de domaine n'est pas vraiment spectaculaire. Cependant, l'accès aux cookies et l'exécution de JavaScript arbitraire dans un autre site Web sont plutôt inquiétants. Heureusement, il y a quelque chose qui peut être fait.

Ce qui peut être fait?

Les utilisateurs ont ici quelques options. Tout d'abord, arrêtez d'utiliser le navigateur Android d'origine. C'est vieux, c'est pas sûr et il y a beaucoup plus d'options intéressantes sur le marché en ce moment. Google a a publié Chrome pour Android Google Chrome se lance enfin pour Android (ICS uniquement) [Actualités] Lire la suite (bien que, uniquement pour les appareils exécutant Ice Cream Sandwich et plus), et il existe même des variantes mobiles de Firefox et Opera disponibles.

Firefox Mobile en particulier mérite une attention particulière. En plus d'offrir une expérience de navigation incroyable, il vous permet également d'exécuter applications pour le système d'exploitation mobile de Mozilla, Firefox OS Top 15 des applications Firefox OS: la liste ultime pour les nouveaux utilisateurs de Firefox OSBien sûr, il y a une application pour ça: c'est la technologie web après tout. Le système d'exploitation mobile de Mozilla Firefox OS qui, au lieu du code natif, utilise HTML5, CSS3 et JavaScript pour ses applications. Lire la suite , ainsi que d'installer un richesse d'extensions impressionnantes Les 10 meilleurs modules complémentaires Firefox pour AndroidL'un des meilleurs aspects de Firefox sur Android est sa prise en charge des modules complémentaires. Découvrez ces modules complémentaires Firefox essentiels pour Android. Lire la suite .

Si vous voulez être particulièrement paranoïaque, il existe même un portage de NoScript pour Firefox Mobile. Cependant, il convient de noter que la plupart des sites Web dépendent fortement JavaScript pour le rendu des subtilités côté client Qu'est-ce que JavaScript et comment ça marche? [La technologie expliquée] Lire la suite et l'utilisation de NoScript va presque certainement casser la plupart des sites Web. Cela explique peut-être pourquoi James Bruce l'a décrit comme faisant partie dutrifecta du mal AdBlock, NoScript et Ghostery - Le Trifecta du malAu cours des derniers mois, j'ai été contacté par un bon nombre de lecteurs qui ont eu des problèmes pour télécharger nos guides, ou pourquoi ils ne peuvent pas voir les boutons de connexion ou les commentaires ne se chargent pas; et en... Lire la suite ‘.

Enfin, si possible, nous vous invitons à mettre à jour votre navigateur Android vers la dernière version, en plus d'installer la dernière version du système d'exploitation Android. Cela garantit que si Google publie un correctif pour ce bug plus loin, vous êtes protégé.

Cependant, il convient de noter que il y a des rumeurs selon lesquelles ce problème pourrait potentiellement toucher les utilisateurs d'Android 4.4 KitKat. Cependant, rien n'est apparu suffisamment important pour que je conseille aux lecteurs de changer de navigateur.

Un bug majeur de confidentialité

Ne vous y trompez pas, c'est un problème majeur de sécurité des smartphones Ce que vous devez vraiment savoir sur la sécurité des smartphones Lire la suite . Cependant, en passant à un autre navigateur, vous devenez pratiquement invulnérable. Cependant, un certain nombre de questions demeurent sur la sécurité globale du système d'exploitation Android.

Allez-vous passer à quelque chose d'un peu plus sûr, comme iOS super sécurisé Sécurité des smartphones: les iPhones peuvent-ils obtenir des logiciels malveillants?Les logiciels malveillants affectant des "milliers" d'iPhones peuvent voler les informations d'identification de l'App Store, mais la majorité des utilisateurs d'iOS sont parfaitement en sécurité - alors quel est le problème avec iOS et les logiciels malveillants? Lire la suite ou (mon préféré) Blackberry 10 10 raisons d'essayer BlackBerry 10 aujourd'huiBlackBerry 10 a des fonctionnalités assez irrésistibles. Voici dix raisons pour lesquelles vous voudrez peut-être essayer. Lire la suite ? Ou resterez-vous fidèle à Android et installerez-vous une ROM sécurisée comme Paranoid Android ou Omirom 5 raisons pour lesquelles vous devriez flasher OmniROM sur votre appareil AndroidAvec un tas d'options ROM personnalisées, il peut être difficile de se contenter d'une seule - mais vous devriez vraiment envisager OmniROM. Lire la suite ? Ou peut-être n'êtes-vous même pas si inquiet.

Discutons-en. La boîte de commentaires est ci-dessous. J'ai hâte d'entendre vos pensées.

Matthew Hughes est un développeur de logiciels et écrivain de Liverpool, en Angleterre. Il est rarement trouvé sans une tasse de café noir fort dans sa main et adore absolument son Macbook Pro et son appareil photo. Vous pouvez lire son blog sur http://www.matthewhughes.co.uk et suivez-le sur Twitter à @matthewhughes.