Katastrofa prywatności na Androidzie, czyli poważna luka w przeglądarce

17-09-2014, 09:32

Luka nazwana "katastrofą prywatności" dotyczy wielu użytkowników Androida. Pozwala m.in. na przejmowanie najbardziej wrażliwych danych.

Luki w bezpieczeństwie coraz częściej zyskują efektowne nazwy, choć czasem te nazwy nie są nadawane im od razu. Teraz pojawia się coraz więcej informacji o luce nazywanej "katastrofą prywatności". Ta luka znana jest przynajmniej od początku sierpnia, ale dopiero teraz zaczyna się dostrzegać jej znaczenie.

Katastrofa prywatności - o co tu chodzi?

Lukę odkrył Rafay Baloch. Stwierdził, że przeglądarka w Androidzie (AOSP) posiada lukę umożliwiającą złośliwym stronom internetowym przechwytywanie informacji, które są zbierane przez inne strony.

Przeglądarki generalnie powinny być tak zabezpieczone, aby rzeczy wpisywane na jednej stronie nie były widoczne dla innej. Służy temu mechanizm o nazwie Same-origin policy (SOP). Skrypty powinny odczytywać i modyfikować tylko te elementy, które mają określone pochodzenie. Niestety ten mechanizm można ominąć w przeglądarce dla Androida. Baloch ustalił, że jest to możliwe na kilku telefonach (m.in. Galaxy S3, HTC Wildfire, Sony Xperia).

Łatwo sobie wyobrazić, co to oznacza. Jeśli odwiedzimy złośliwą stronę i w tym samym czasie mamy otwartą stronę z pocztą, atakujący może pobrać dane dotyczące naszej poczty. Może też przejąć ciasteczko użytkownika, co pozwoli na "wykradzenie sesji" i dostęp do prywatnych wiadomości albo da atakującemu możliwość wysyłania e-maili w imieniu użytkownika. Mówiąc najkrócej, jest to poważna luka umożliwiająca przejmowanie bardzo wrażliwych informacji.

Inny ekspert - Tod Beardsley - nazwał tę lukę "katastrofą prywatności" i opisał ją na stronie firmy Rapid 7. Zauważył on, że choć luka była zgłoszona dawno temu, Google najwyraźniej ją zignorowała.

Wielu zagrożonych

Należy tu wspomnieć, że w nowszych wersjach Androida firma Google przeszła na przeglądarkę Chrome, odchodząc od AOSP. Zmiana przeglądarki domyślnej nastąpiła w Androidzie 4.2.

Oczywiście wprowadzenie nowego produktu nie oznacza wycofania starszego. Według danych Google aż 25% użytkowników Androida korzysta z systemu w wersji 4.1.x. Ponad 21% używa jeszcze starszych wersji. System w wersji 4.4 posiada mniej niż 1/4 użytkowników Androida. Na tej podstawie można szacować, że "katastrofa prywatności" dotyczy około połowy użytkowników Androida.

Dodajmy jeszcze, że w sieci bez problemy znajdziemy porady na temat instalowania przeglądarki AOSP na najnowszych urządzeniach. Niektórzy ludzie po prostu lubią tę przeglądarkę, co oczywiście naraża ich na atak.

Sonda
Czy korzystasz wyłącznie z najnowszego oprogramowania mobilnego?
  • tak
  • nie
wyniki  komentarze

Co dalej?

Użytkownicy Androida 4.0 lub nowszych wersji powinni dla bezpieczeństwa przejść na przeglądarkę Chrome, Firefox lub Opera. Oczywiście najlepiej będzie, gdy Google po prostu załata tę lukę, ale tu pojawia się pytanie, czy uda się dostarczyć konieczną aktualizację wszystkim zagrożonym w rozsądnym czasie.


  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031