Este error navegador de android hará que actualizar a kitkat
¿Está todavía la actualización a Android 4.4 KitKat? Aquí hay algo que podría dar un poco de ánimo para hacer el cambio: un problema grave con el navegador de valores en los teléfonos pre-KitKat ha descubierto, y que podría permitir que sitios web maliciosos para acceder a los datos de otros sitios web. Suena aterrador? Esto es lo que necesita saber
La cuestión - que fue descubierto por primera vez por el investigador Rafay Baloch - ve a sitios web maliciosos poder de javascript arbitrario en otros marcos, lo que podría ver las cookies robadas, o la estructura y marcado de páginas web que están directamente interferidas.
Los investigadores de seguridad están preocupados por esta desesperadamente, con Rapid7 - los fabricantes del marco de pruebas de seguridad popular, Metasploit - describiéndola como una ‘pesadilla privacidad`. Curioso acerca de cómo funciona, por las que debe estar preocupado, y lo que puede hacer al respecto? Siga leyendo para conocer más.
Un Seguridad Principio básico: Bypassed
El principio básico que debe evitar que este ataque se produzca en el primer lugar se llama política del mismo origen. En pocas palabras, esto significa que el lado del cliente javascript que se ejecuta en un sitio web no debe ser capaz de ser interferir con otro sitio web.
Esta política ha sido un fundamento de la seguridad de aplicaciones web, desde que se introdujo por primera vez en 1995 con Netscape Navigator 2. Cada navegador web solo ha puesto en práctica esta política, como una característica de seguridad fundamental, y como resultado es muy raro ver tales una vulnerabilidad en la naturaleza.
Para obtener más información sobre cómo funciona SOP, es posible que desee ver el vídeo de arriba. Esto fue tomada en un evento OWASP (Open Project Web App de Seguridad) en Alemania, y es una de las mejores explicaciones del protocolo que he visto hasta ahora.
Cuando un navegador es vulnerable a un ataque de derivación SOP, no hay mucho espacio para el daño. Un atacante podría hacer viable cualquier cosa, desde el uso de la API de ubicación introducida con la especificación HTML 5 para averiguar dónde se encuentra una víctima, todo el camino hasta el robo de cookies.
Afortunadamente, la mayoría de los desarrolladores de navegadores toman este tipo de ataque serio. Lo que hace que sea aún más notable para ver este tipo de ataque ‘en la naturaleza`.
Cómo funciona el ataque
Por lo tanto, sabemos Polity mismo origen es importante. Y sabemos que una falla masiva del navegador de Android potencialmente puede conducir a atacantes eludir esta medida de seguridad importante? pero como funciona?
Pues bien, la prueba de concepto dado por Rafay Baloch se ve un poco como esto:
¿Entonces que tenemos aqui? Bueno, hay un iFrame. Se trata de un elemento HTML que se utiliza para permitir que los sitios web para incrustar otra página web dentro de otra página web. No están acostumbrados tanto como solían ser, en gran parte porque son una pesadilla SEO. Sin embargo, todavía a menudo se encuentran de vez en cuando, y que siguen siendo una parte de la especificación de HTML, y sin embargo no se han quedado en desuso.10 errores comunes de SEO que pueden destruir su página web [Parte I]10 errores comunes de SEO que pueden destruir su página web [Parte I]Lee mas
Después de que es una etiqueta HTML que representa un botón de entrada. Este contiene algo de javascript especialmente diseñado (nótese que se arrastra ‘ u0000` ?) Que, cuando se hace clic, emite el nombre de dominio del sitio web actual. Sin embargo, debido a un error en el navegador de Android, que termina por acceder a los atributos del marco flotante, y termina la impresión ‘rhaininfosec.com` como un cuadro de alerta javascript.
En Google Chrome, Internet Explorer y Firefox, este tipo de ataque se limitaría a error a cabo. Sería (dependiendo del navegador) también producen un registro en la consola de javascript informando que el navegador bloqueó el ataque. Excepto, por alguna razón, el navegador de valores en pre-Android 4.4 dispositivos no hace eso.
La impresión de un nombre de dominio no es muy espectacular. Sin embargo, el acceso a las cookies y la ejecución de javascript arbitrario en otro sitio es bastante preocupante. Afortunadamente, hay algo que se pueda hacer.
¿Qué se puede hacer?
Los usuarios tienen algunas opciones aquí. En primer lugar, dejar de usar el navegador de Android. Es viejo, es insegura y hay mucho más convincente opciones en el mercado en este momento. google tiene lanzado Chrome para Android (Aunque sólo para dispositivos con Ice Cream Sandwich en adelante), e incluso hay variantes móviles de Firefox y Opera disponibles.Google Chrome Por último lanza para Android (Sólo ICS) [Noticias]Google Chrome Por último lanza para Android (Sólo ICS) [Noticias]Lee mas
Firefox Mobile en particular, vale la pena prestar atención a. Además de ofrecer una experiencia de navegación increíble, sino que también le permite ejecutar aplicaciones para propio sistema operativo móvil de Mozilla, Firefox OS, así como instalar una gran cantidad de impresionantes complementos.
Si quieres ser especialmente paranoico, hay incluso una portabilidad de NoScript para Firefox móvil. Aunque, hay que señalar que la mayoría de los sitios web son muy dependientes javascript para renderizar las sutilezas del lado del cliente, y el uso de NoScript es casi seguro que romper la mayoría de los sitios web. Esto, quizás, explica por qué James Bruce describió como parte de la ‘trifecta del mal‘.¿Qué es javascript y cómo funciona? [Tecnología Explicación]¿Qué es javascript y cómo funciona? [Tecnología Explicación]Lee mas
Por último, si es posible, que le anima a actualizar su navegador de Android a la versión más reciente, además de la instalación de la última versión del sistema operativo Android. Esto asegura que si Google lanzará una solución para este error más abajo en la línea, usted está protegido.
Aunque, vale la pena señalar que hay rumores de que este problema podría potencialmente afectados los usuarios de Android 4.4 KitKat. Sin embargo, nada ha podido comprobar que es lo bastante importante como para que yo aconsejo a los lectores para cambiar los exploradores.
Un bug grave de Privacidad
No se equivoquen, esta es una gran problema de seguridad del smartphone. Sin embargo, al cambiar a un navegador diferente, usted se convierte en prácticamente invulnerable. Sin embargo, una serie de preguntas permanecen sobre la seguridad general del sistema operativo Android.Lo que realmente necesita saber sobre Smartphone SecurityLo que realmente necesita saber sobre Smartphone SecurityLee mas
Va a estar cambiando a algo un poco más seguro, al igual IOS súper seguras o (Mi favorito) Blackberry 10? O tal vez se quedará fiel a Android, y la instalación de una ROM segura como Paranoid Android o Omirom? O tal vez ni siquiera estás tan preocupado.
Vamos a charlar sobre ello. El apartado de comentarios está por debajo. No puedo esperar a escuchar sus pensamientos.