פרסומת
האם עדיין תשדרג ל- Android 4.4 KitKat? הנה משהו שעשוי לתת לך קצת עידוד לבצע את המעבר: נושא רציני עם המניה התגלה הדפדפן בטלפונים שלפני KitKat והוא יכול לאפשר לאתרים זדוניים לגשת לנתונים של אחרים אתרים. נשמע מפחיד? הנה מה שאתה צריך לדעת
הנושא - שהיה התגלה לראשונה על ידי החוקר רפאי בלוך - רואה אתרים זדוניים המסוגלים להזרים JavaScript שרירותי למסגרות אחרות, שעלולות לראות גניבות של עוגיות, או שהפרעה ישירה של המבנה והסימון של אתרי אינטרנט.
חוקרי אבטחה מודאגים מכך נואשות, כאשר Rapid7 - יצרניות המסגרת הפופולרית לבדיקת אבטחה, Metasploit - מתאר זאת כ"סיוט פרטיות ". סקרן איך זה עובד, למה אתה צריך לדאוג ומה אתה יכול לעשות בקשר לזה? המשך לקרוא לעוד.
עקרון ביטחון בסיסי: עקיפה
העיקרון הבסיסי אשר אמור למנוע התקפה זו מלכתחילה נקרא מדיניות של אותו מקור. בקיצור, זה אומר שג'אווה סקריפט בצד הלקוח הפועל באתר אחד לא אמור להיות מסוגל להפריע לאתר אחר.
מדיניות זו היוותה בסיס לביטחון ביישומי אינטרנט, מאז הוצגה לראשונה בשנת 1995 באמצעות Netscape Navigator 2. כל דפדפן אינטרנט בודד יישם מדיניות זו, כתכונת אבטחה בסיסית, וכתוצאה מכך נדיר להפליא לראות פגיעות כזו בטבע.
למידע נוסף על אופן פעולתו של SOP, מומלץ לצפות בסרטון שלמעלה. זה צולם באירוע OWASP (Open Web App Security Project) בגרמניה, והוא אחד ההסברים הטובים ביותר לפרוטוקול שראיתי עד כה.
כאשר דפדפן פגיע להתקף עוקף SOP, יש הרבה מקום לנזק. תוקף יכול היה לעשות הכל, החל להשתמש בממשק ה- API של המיקום שהוצג עם מפרט ה- HTML5 כדי לגלות היכן נמצא קורבן, כל הדרך לגניבת עוגיות.
למרבה המזל, מרבית מפתחי הדפדפנים מתייחסים להתקפה מסוג זה ברצינות. מה שמאוד ראוי לציון לראות התקפה כזו 'בטבע'.
איך הפיגוע עובד
אז אנחנו יודעים מדיניות מקור זהה חשובה. ואנחנו יודעים שכישלון מאסיבי של דפדפן אנדרואיד המניות יכול להוביל לתוקפים לעקוף את אמצעי האבטחה המכריע הזה? אבל איך זה עובד?
ובכן, הוכחת המושג שניתנה על ידי רפאי בלוך נראית קצת כך:
[כבר לא זמין]
אז מה יש לנו כאן? ובכן, יש iFrame. זהו אלמנט HTML המשמש לאפשר לאתרים להטביע דף אינטרנט אחר בתוך דף אינטרנט אחר. הם לא רגילים להיות כמו פעם, בעיקר בגלל שהם היו סיוט של קידום אתרים 10 טעויות SEO נפוצות שיכולות להרוס את האתר שלך [חלק א] קרא עוד . עם זאת, לעיתים קרובות אתה מוצא אותם מעת לעת, והם עדיין מהווים חלק מפרט ה- HTML וטרם הוצאו משימוש.
בעקבות זה הוא א ייצוג תג HTML כפתור קלט. זה מכיל JavaScript בעל מבנה מיוחד (שימו לב שנגרר אחרי '\ u0000'?) שכאשר לוחצים עליו לוחץ על שם הדומיין של האתר הנוכחי. עם זאת, בגלל שגיאה בדפדפן אנדרואיד, בסופו של דבר הוא ניגש לתכונות של iFrame, ובסופו של דבר הדפסת 'rhaininfosec.com' כתיבת התראת JavaScript.
ב- Google Chrome, Internet Explorer ו- Firefox, סוג זה של התקפה פשוט יגרום לשגיאה. זה היה (תלוי בדפדפן) גם לייצר יומן במסוף JavaScript שמודיע שהדפדפן חסם את ההתקפה. פרט, משום מה, דפדפן המניות במכשירים טרום אנדרואיד 4.4 אינו עושה זאת.
הדפסת שם תחום אינה מרהיבה במיוחד. עם זאת, קבלת גישה לעוגיות וביצוע JavaScript שרירותי באתר אחר זה די מדאיג. למרבה המזל, אפשר לעשות משהו.
מה אפשר לעשות?
למשתמשים יש כמה אפשרויות כאן. ראשית, הפסק להשתמש בדפדפן אנדרואיד המניות. זה ישן, זה לא בטוח ויש הרבה יותר אפשרויות משכנעות בשוק כרגע. לגוגל יש שחרר את Chrome לאנדרואיד גוגל כרום משיקה סוף סוף לאנדרואיד (ICS בלבד) [חדשות] קרא עוד (אם כי רק למכשירים שמפעילים גלידת סנדוויץ 'ומעלה), ויש אפילו גרסאות ניידות של Firefox ואופרה לנייד.
פיירפוקס מובייל בפרט שווה לשים לב אליו. בנוסף להציע חווית גלישה מדהימה, זה גם מאפשר לך לרוץ יישומים למערכת ההפעלה הניידת של Mozilla, מערכת ההפעלה Firefox 15 האפליקציות המובילות של מערכת ההפעלה Firefox: הרשימה האולטימטיבית למשתמשים חדשים במערכת ההפעלה של Firefoxכמובן שיש אפליקציה לזה: בסופו של דבר מדובר בטכנולוגיית אינטרנט. מערכת ההפעלה הניידת של Mozilla Firefox OS, שבמקום קוד מקורי, היא משתמשת ב- HTML5, CSS3 ו- JavaScript עבור האפליקציות שלה. קרא עוד , כמו גם להתקין שפע של תוספות מדהימות 10 התוספות הטובות ביותר לפיירפוקס לאנדרואידאחד ההיבטים הטובים ביותר של Firefox ב- Android הוא תמיכה בהרחבה. עיין בתוספות פיירפוקס חיוניות אלה עבור אנדרואיד. קרא עוד .
אם אתה רוצה להיות פרנואידי במיוחד, יש אפילו פריט ל- NoScript עבור Firefox Mobile. עם זאת, יש לציין כי מרבית האתרים תלויים מאוד בהם JavaScript לצורך עיבוד חינניות מצד הלקוח מה זה JavaScript ואיך זה עובד? [הסביר טכנולוגיה] קרא עוד , ושימוש ב- NoScript ישבור כמעט את רוב האתרים. אולי זה מסביר מדוע ג'יימס ברוס תיאר זאת כחלק מה-טריפקטה של רוע AdBlock, NoScript ו- Ghostery - הטריפטה של הרועבמהלך החודשים האחרונים יצרתי קשר עם מספר לא מבוטל של קוראים שהתקשו להוריד את המדריכים שלנו, או מדוע הם לא יכולים לראות את כפתורי הכניסה או ההערות לא נטענים; ובתוך... קרא עוד ‘.
לבסוף, במידת האפשר, תעודדו לעדכן את דפדפן ה- Android לגירסה האחרונה, בנוסף להתקנת הגרסה האחרונה של מערכת ההפעלה אנדרואיד. זה מבטיח שאם גוגל תשחרר תיקון עבור באג זה בהמשך הקו, אתה מוגן.
אם כי, ראוי לציין זאת ישנן שמועות שהבעיה הזו עלולה לפגוע במשתמשי אנדרואיד 4.4 KitKat. עם זאת, לא התגלה שום דבר מהותי מספיק בשבילי כדי לייעץ לקוראים להחליף דפדפנים.
באג פרטיות חשוב
אל תטעו, זה א נושא האבטחה העיקרי בסמארטפון מה שאתה באמת צריך לדעת על אבטחת סמארטפונים קרא עוד . עם זאת, על ידי מעבר לדפדפן אחר, אתה הופך להיות בלתי אפשרי כמעט. עם זאת, מספר שאלות נותרות לגבי האבטחה הכוללת של מערכת ההפעלה אנדרואיד.
האם תעבור למשהו קצת יותר בטוח, כמו סופר מאובטח iOS אבטחת סמארטפון: האם מכשירי iPhone יכולים לקבל תוכנות זדוניות?תוכנות זדוניות המשפיעות על "אלפי" מכשירי אייפון יכולים לגנוב אישורי App Store, אך רוב משתמשי iOS בטוחים לחלוטין - אז מה העניין עם iOS ותוכנה סוררת? קרא עוד או (האהוב עלי) Blackberry 10 10 סיבות לנסות היום לבלקברי 10ל- BlackBerry 10 יש כמה תכונות שלא ניתן לעמוד בפניה. להלן עשר סיבות לכך שתרצה לנסות. קרא עוד ? או אולי תישאר נאמן לאנדרואיד ותתקין ROM מאובטח כמו אנדרואיד פרנואידית או אומירום 5 סיבות מדוע עליכם להבזיק OmniROM למכשיר ה- Android שלכםעם מגוון אפשרויות ROM מותאמות אישית שם בחוץ, זה יכול להיות קשה להסתפק באחת בלבד - אבל כדאי מאוד לשקול את OmniROM. קרא עוד ? או שאולי אתה לא מודאג כל כך.
בואו נשוח על זה. תיבת התגובות נמצאת למטה. אני לא יכול לחכות לשמוע את המחשבות שלך.
מתיו יוז הוא מפתח תוכנה וכותב מליברפול, אנגליה. לעיתים רחוקות הוא נמצא ללא כוס קפה שחור חזק בידו ומעריץ לחלוטין את ה- Macbook Pro ואת המצלמה שלו. תוכלו לקרוא את הבלוג שלו בכתובת http://www.matthewhughes.co.uk ותעקוב אחריו בטוויטר ב- @ matthewhughes.
