Böngészőn keresztül támadhatók az androidos mobilok

Az Android alapértelmezett böngészője egy meglehetősen súlyos hibát tartalmaz, aminek kihasználásával a támadók jogosulatlanul férhetnek hozzá védett tartalmakhoz.
 

Augusztus végén Rafay Baloch biztonsági kutató egy érdekes felfedezést tett az Android alapértelmezett böngészőjének vizsgálata során. Arra jött rá, hogy egy viszonylag egyszerű módszer révén a böngészőbe épített egyik lényeges védelmi mechanizmus megkerülhetővé válhat, és ezáltal bizalmas adatok, tartalmak kerülhetnek veszélybe. A hibára egyre többen kezdtek felfigyelni, de igazán csak a napokban került rivaldafénybe, amikor megjelent az a Metasploit modul, ami képes kihasználni a sebezhetőséget.

A sérülékenységet a böngésző JavaScript kezelése tartalmazza, amely esetenként nem megfelelően dolgozza fel a null karaktereket. Ennek következtében a támadók hatástalaníthatják, illetve megkerülhetik a szoftverbe épített úgynevezett SOP (same-origin policy) védelmet. A SOP rendkívül fontos feladatot lát el, és nélkülözhetetlen része a modern böngészőknek. A célja, hogy megakadályozza az eltérő forrásból származó weboldalak közötti nemkívánatos műveletvégrehajtásokat.

A feltárt hiba miatt a böngésző speciálisan szerkesztett JavaScriptek futtatásakor nem ellenőrzi megfelelően a weboldalak forrását, és lehetőséget ad a megnyitott weblapok közötti interakciókra. 

"Mit is jelent mindez valójában? Bármilyen tetszőleges weboldal, amelyet támadók vagy spammerek felügyelnek, hozzájárulhat ahhoz, hogy illetéktelenek más weblapokba tekintsenek be. Képzeljük el, amikor a felhasználó meglátogat egy ártalmas weblapot, miközben egy másik ablakban (fülön) nyitva van a webes levelezője. Ekkor a támadó betekintést nyerhet a levelezésbe. Sőt, ami rosszabb, hogy hitelesítésekhez használt cookie-kat is lemásolhat, majd átveheti az irányítást a munkamenetek felett, és leveleket olvashat, vagy küldözgethet az áldozata nevében" - nyilatkozta Tod Beardsley, a Metasploit Framework technikai vezetője.

A szakember elmondta, hogy a vizsgálatok jelenleg is folyamatban vannak, de úgy fest, hogy az Android 4.4 kivételével az összes régebbi kiadás sebezhető lehet, vagyis a biztonsági rés rengeteg készüléken tátonghat világszerte. Beardsley szerint érdemes lehet megfontolni alternatív webböngészők (Google Chrome, Mozilla Firefox, Dolphin Browser, Opera stb.) telepítését, amelyekben a szóban forgó biztonsági hiba nem található meg.