Súlyos sebezhetőség az Android böngészőjében
Súlyos sebezhetőséget találtak az Android gyári böngészőjében - egy weboldal képes hozzáférni egy másik tartalmához. A legnagyobb gond, hogy a böngészőt a Google már nem fejleszti, frissíteni pedig csak az operációs rendszerrel együtt lehet.
Súlyos sebezhetőséget talált az Android gyári böngészőjében Rafay Baloch biztonsági szakértő. Egy nemrégiben publikált cikke szerint az Android Browser hibásan kezeli az ún. Same Origin Policyt, ez pedig lehetővé teszi egy támadó számára, hogy a weboldal kódjában elhelyezett, speciális JavaScript segítségével a felhasználó által megnyitott más oldalak tartalmához férjen hozzá. Ez a gyakorlatban annyit tesz, hogy például eltulajdoníthat session cookie-kat, vagy akár a felhasználó által begépelt adatokat, neveket és jelszavakat lophat.
Sok telefon lehet kint a sebezhető kóddal
A sérülékenységgel a legnagyobb probléma az, hogy az Android feletti kontroll megtartása és megerősítése érdekében a Google már jó ideje nem nyúlt a gyári (AOSP) Android Browserhez, az operációs rendszer beépített böngészőjéhez és helyette a Chrome-ot fejleszti csak - ez viszont kizárólag a Google Play hozzáféréssel rendelkező telefonokra kerülhet fel, és csak Android 4.0 vagy újabb verzión fut. A piacon viszont számos olyan androidos készülék van használatban, amelyek vagy az operációs rendszer verziója, vagy a Play-hozzáférés hiánya miatt nem a mobil Chrome-ot használják, hanem az Android Browsert.
Az Androidban a 4.4-es verzió óta alapértelmezett böngésző a Chrome, a KitKatet azonban a Google friss információi szerint csak az installált bázis kevesebb mint negyede futtatja. Emellett még ma is 10 százalék felett van azon androidos eszközök száma, amelyek az operációs rendszer 4.0-nál korábbi változataira épülnek, amelyre egyáltalán nem is érhető el a Chrome. És ezek csak a Play-hozzáféréssel rendelkező eszközök, ezek mellett még a piacon lehetnek milliószám olyan modellek (például Kínában), amelyek nem érik el a Playt, így nem kerülhet rájuk Chrome sem.
Miért kritikus a Patch & Asset Management a kibervédelemben? (x) Az adatszivárgások jelentős része megakadályozható lenne, ha a szervezetek időben telepítenék a szoftverfrissítéseket.
Baloch saját bevallása szerint jelentette a hibát a Google-nek, a keresőcég azonban lezárta a párbeszédet azzal, hogy nem tudja a támadást reprodukálni. A biztonsági szakértő ezt követően egy blogbejegyzésben hozta nyilvánosságra a sebezhetőséget a kihasználó példakóddal együtt, amely azóta a Metasploit keretrendszernek is része lett. A Google eztán állítólag módosította az álláspontját és úgy tűnik, mégis tudja a hibát reprodukálni, emellett ígéretet tett a javításra is.
Javítják, de hogy terítik?
Egyelőre nem tudni azonban, a javítás hogy jut el a felhasználókhoz. A Chrome-ot a Google rendszeresen frissíti a Play Store-on keresztül, az Android Browser azonban az operációs rendszer beépített böngészője és ezt az operációs rendszerrel együtt lehet csak frissíteni. Az androidos készülékgyártóknak viszont egyike sem arról híres, hogy az OS-frissítéseket rendszeresen és gyorsan kiadná, az elavult (4.0 előtti) Androidot futtató eszközökhöz pedig egyáltalán nem is érdemes frissítést remélni.
A sebezhető Android Browsert tartalmazó verziók felhasználói számára biztonsági szempontból a legokosabb a Chrome-ra való átállás ebben az esetben, amennyiben pedig ez nem érhető el a készülékükre, akkor más, független böngésző (pl. Opera, Firefox) hozhat nagyobb biztonságot.