Korzystasz z wbudowanej przeglądarki na Androidzie? Możesz stać się ofiarą ataku

Korzystasz z wbudowanej przeglądarki na Androidzie? Możesz stać się ofiarą ataku17.09.2014 13:23
Redakcja

Bezpieczeństwo platformy jaką jest Androida po raz kolejny zostało wystawione na poważną próbę. Rafay Baloch, niezależny ekspert zajmujący się bezpieczeństwem odnalazł lukę we wbudowanej przeglądarce Androida, która została już okrzyknięta mianem „katastrofy prywatności”. Problem jest poważny, bo według aktualnych statystyk udziału poszczególnych wersji Androida, na atak jest narażone około 70% spośród wszystkich osób, które korzystają z tego systemu mobilnego.

Podatność została oznaczona jako CVE-2014-6041, dotyczy Androida 4.2.1 i wszystkich starszych wersji. Poprzez wykorzystanie odpowiedniego kodu JavaScript, atakujący może ominąć zabezpieczenie Same-origin policy (SOP) i uzyskać dostęp do innych, wcześniej przeglądanych stron. Mechanizm Same-Origin Policy jest swoistym fundamentem bezpieczeństwa przeglądarek, który został wprowadzony już w 1995 roku. Dzięki niemu dwa osobne wywołania JavaScript nie mogą wzajemnie modyfikować swoich drzew DOM, chyba, że mają takie samo pochodzenie (origin). W praktyce oznacza to tyle, że kod JS na stronie A nie jest we stanie modyfikować strony B. Istnieją sposoby na obejście tego zabezpieczenia, ale zostały one stworzone dla webdeweloperów, bo czasami zachodzi taka potrzeba i nie jest to próba ataku.

W tym akurat kontekście sytuacja wygląda inaczej i zdecydowanie nie jest niczym, na co można się zgodzić. Atak tego typu pozwala uzyskać dostęp do otwieranych stron, włamywacz może więc np. wejść na naszego webmaila, konto bankowe czy sieci społecznościowe. Możliwa jest także kradzież sesji i ciasteczek. Luka występuje we wbudowanej w Androida przeglądarce AOSP. Nie dotyczy jednak jedynie czystego Androida, ale także nakładek producentów, którzy swoje przeglądarki tworzą w oparciu o nią. Badacze wykonali szereg testów i pokazali, że atak może zostać przeprowadzony np. na Samsungu Galaxy S3, HTC Wildfire, Motorolii Razr, a także wielu modelach Sony Xperia. Na atak nie są natomiast narażeni użytkownicy Androida 4.4 KitKat – według najnowszych danych, korzysta z niego obecnie 24,5% użytkowników.

Problem został już zgłoszony firmie Google. Początkowo korporacja stwierdziła, że nie jest w stanie go powtórzyć we własnym laboratorium. Kiedy informacja ujrzała światło dzienne, firma zmieniła zdanie i utworzyła kilka poprawek dla przeglądarki AOSP. Sam odkrywca, Baloch, nie został jednak potraktowany tak, jak powinien – pracownicy Google uznali, że odkrycie to nie kwalifikuje się do otrzymania za nie nagrody, które są wypłacane przy odkryciach związanych z lukami bezpieczeństwa tej firmy. Nie ukrywajmy, dziwne podejście. Same poprawki to jednak zbyt mało, bo większość urządzeń nie jest aktualizowana i producenci najprawdopodobniej nie wypuszczą odpowiednich łatek, nawet biorąc pod uwagę, że problem jest bardzo poważny i uderza w ich przerobione oprogramowanie.

Jak uchronić się przed tym niebezpieczeństwem? Wbrew pozorom, nie jest to wcale takie trudne, zadanie może wykonać każdy minimalnie rozgarnięty użytkownik. Aby nie być narażonym na atak przy użyciu wbudowanej przeglądarki wystarczy z niej nie korzystać. W sklepie Google Play znajdziemy wiele alternatywnych, często znacznie lepszych i szybszych przeglądarek. Tego typu aplikacje znajdziecie również w bazie aplikacji mobilnych naszego serwisu. Polecamy wypróbowanie najpopularniejszych z nich: Google Chrome, Firefoxa, Opery, a także Dolphina. Wbudowaną przeglądarkę warto wyłączyć, aby zminimalizować ryzyko. Dokonać można tego w ustawieniach, w sekcji zarządzania aplikacjami. Zaznaczamy jednak, że nie w każdym wypadku będzie to możliwe – niektóre nakładki producentów traktują wbudowaną przeglądarkę jako aplikację systemową.

Nie jest to pierwsza, nie jest to zapewne i ostatnia luka, którą odkryto w Androidzie i aplikacjach dystrybuowanych razem z tym systemem mobilnym. Akurat ten problem da się dosyć łatwo obejść, ale nie zapominajmy, że nie zawsze jest to takie proste. Dziwi podejście Google, które zamiast starać się wynagrodzić odkrywcę i pokazać, że docenia pracę włożoną w platformę, zupełnie go zignorowało.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na