Korzystasz z wbudowanej przeglądarki na Androidzie? Możesz stać się ofiarą ataku

Bezpieczeństwo platformy jaką jest Androida po raz kolejny zostało wystawione na poważną próbę. Rafay Baloch, niezależny ekspert zajmujący się bezpieczeństwem odnalazł lukę we wbudowanej przeglądarce Androida, która została już okrzyknięta mianem „katastrofy prywatności”. Problem jest poważny, bo według aktualnych statystyk udziału poszczególnych wersji Androida, na atak jest narażone około 70% spośród wszystkich osób, które korzystają z tego systemu mobilnego.

Podatność została oznaczona jako CVE-2014-6041, dotyczy Androida 4.2.1 i wszystkich starszych wersji. Poprzez wykorzystanie odpowiedniego kodu JavaScript, atakujący może ominąć zabezpieczenie Same-origin policy (SOP) i uzyskać dostęp do innych, wcześniej przeglądanych stron. Mechanizm Same-Origin Policy jest swoistym fundamentem bezpieczeństwa przeglądarek, który został wprowadzony już w 1995 roku. Dzięki niemu dwa osobne wywołania JavaScript nie mogą wzajemnie modyfikować swoich drzew DOM, chyba, że mają takie samo pochodzenie (origin). W praktyce oznacza to tyle, że kod JS na stronie A nie jest we stanie modyfikować strony B. Istnieją sposoby na obejście tego zabezpieczenia, ale zostały one stworzone dla webdeweloperów, bo czasami zachodzi taka potrzeba i nie jest to próba ataku.

W tym akurat kontekście sytuacja wygląda inaczej i zdecydowanie nie jest niczym, na co można się zgodzić. Atak tego typu pozwala uzyskać dostęp do otwieranych stron, włamywacz może więc np. wejść na naszego webmaila, konto bankowe czy sieci społecznościowe. Możliwa jest także kradzież sesji i ciasteczek. Luka występuje we wbudowanej w Androida przeglądarce AOSP. Nie dotyczy jednak jedynie czystego Androida, ale także nakładek producentów, którzy swoje przeglądarki tworzą w oparciu o nią. Badacze wykonali szereg testów i pokazali, że atak może zostać przeprowadzony np. na Samsungu Galaxy S3, HTC Wildfire, Motorolii Razr, a także wielu modelach Sony Xperia. Na atak nie są natomiast narażeni użytkownicy Androida 4.4 KitKat – według najnowszych danych, korzysta z niego obecnie 24,5% użytkowników.

Problem został już zgłoszony firmie Google. Początkowo korporacja stwierdziła, że nie jest w stanie go powtórzyć we własnym laboratorium. Kiedy informacja ujrzała światło dzienne, firma zmieniła zdanie i utworzyła kilka poprawek dla przeglądarki AOSP. Sam odkrywca, Baloch, nie został jednak potraktowany tak, jak powinien – pracownicy Google uznali, że odkrycie to nie kwalifikuje się do otrzymania za nie nagrody, które są wypłacane przy odkryciach związanych z lukami bezpieczeństwa tej firmy. Nie ukrywajmy, dziwne podejście. Same poprawki to jednak zbyt mało, bo większość urządzeń nie jest aktualizowana i producenci najprawdopodobniej nie wypuszczą odpowiednich łatek, nawet biorąc pod uwagę, że problem jest bardzo poważny i uderza w ich przerobione oprogramowanie.

Jak uchronić się przed tym niebezpieczeństwem? Wbrew pozorom, nie jest to wcale takie trudne, zadanie może wykonać każdy minimalnie rozgarnięty użytkownik. Aby nie być narażonym na atak przy użyciu wbudowanej przeglądarki wystarczy z niej nie korzystać. W sklepie Google Play znajdziemy wiele alternatywnych, często znacznie lepszych i szybszych przeglądarek. Tego typu aplikacje znajdziecie również w bazie aplikacji mobilnych naszego serwisu. Polecamy wypróbowanie najpopularniejszych z nich: Google Chrome, Firefoxa, Opery, a także Dolphina. Wbudowaną przeglądarkę warto wyłączyć, aby zminimalizować ryzyko. Dokonać można tego w ustawieniach, w sekcji zarządzania aplikacjami. Zaznaczamy jednak, że nie w każdym wypadku będzie to możliwe – niektóre nakładki producentów traktują wbudowaną przeglądarkę jako aplikację systemową.

Nie jest to pierwsza, nie jest to zapewne i ostatnia luka, którą odkryto w Androidzie i aplikacjach dystrybuowanych razem z tym systemem mobilnym. Akurat ten problem da się dosyć łatwo obejść, ale nie zapominajmy, że nie zawsze jest to takie proste. Dziwi podejście Google, które zamiast starać się wynagrodzić odkrywcę i pokazać, że docenia pracę włożoną w platformę, zupełnie go zignorowało.