スマートフォン
 Computer >> コンピューター >  >> スマートフォン >> スマートフォン

このAndroidブラウザのバグにより、KitKatにアップグレードできます

Android 4.4 KitKatにまだアップグレードしていませんか?これは、切り替えを行うための少しの励ましになるかもしれません。KitKat以前の電話のストックブラウザに深刻な問題が発見され、悪意のあるWebサイトが他のWebサイトのデータにアクセスできるようになる可能性があります。怖いですか?知っておくべきことは次のとおりです

この問題は、研究者のRafay Balochによって最初に発見されましたが、悪意のあるWebサイトが他のフレームに任意のJavaScriptを挿入して、Cookieが盗まれたり、Webサイトの構造やマークアップが直接妨害されたりする可能性があります。

セキュリティ研究者はこれに必死に心配しており、人気のあるセキュリティテストフレームワークであるMetasploitのメーカーであるRapid7は、これを「プライバシーの悪夢」と表現しています。それがどのように機能するのか、なぜあなたは心配する必要があるのか​​、そしてあなたはそれについて何ができるのかについて興味がありますか?詳細については、以下をお読みください。

基本的なセキュリティ原則:バイパス

そもそもこの攻撃の発生を防ぐための基本原則は、同一生成元ポリシーと呼ばれます。つまり、あるWebサイトで実行されているクライアント側のJavaScriptが別のWebサイトに干渉しないようにする必要があります。

このポリシーは、1995年にNetscape Navigator 2で最初に導入されて以来、Webアプリケーションセキュリティの基盤となっています。すべてのWebブラウザは、基本的なセキュリティ機能としてこのポリシーを実装しており、その結果、このようなポリシーが表示されることは非常にまれです。野生の脆弱性。

https://www.youtube.com/watch?v=WnjZJ38YEB4

SOPの仕組みの詳細については、上記のビデオをご覧ください。これは、ドイツで開催されたOWASP(Open Web App Security Project)イベントで撮影されたものであり、これまでに見たプロトコルの最も優れた説明の1つです。

ブラウザがSOPバイパス攻撃に対して脆弱である場合、損傷の余地がたくさんあります。攻撃者は、HTML5仕様で導入されたロケーションAPIを使用して被害者の場所を特定することから、Cookieを盗むことまで、あらゆることを実行可能に行うことができます。

幸いなことに、ほとんどのブラウザ開発者はこの種の攻撃を真剣に受け止めています。そのため、このような攻撃を「野生で」見ることはさらに注目に値します。

攻撃のしくみ

したがって、同一生成元ポリシーが重要であることを私たちは知っています。また、標準のAndroidブラウザーに大規模な障害が発生すると、攻撃者がこの重要なセキュリティ対策を回避する可能性があることを私たちは知っていますか?しかし、それはどのように機能しますか?

さて、Rafay Balochによって与えられた概念実証は、次のようになります。

[利用できなくなりました]

それで、ここには何がありますか?ええと、iFrameがあります。これは、Webサイトが別のWebページを別のWebページ内に埋め込むことができるようにするために使用されるHTML要素です。主にSEOの悪夢であるため、以前ほど使用されていません。ただし、それでも時々それらを見つけることが多く、それらはまだHTML仕様の一部であり、まだ非推奨ではありません。

続いて、入力ボタンを表すHTMLタグがあります。これには、特別に細工されたJavaScript(末尾の「\ u0000」?)が含まれており、クリックすると現在のWebサイトのドメイン名が出力されます。ただし、Androidブラウザのエラーにより、iFrameの属性にアクセスし、JavaScriptアラートボックスとして「rhaininfosec.com」を出力することになります。

このAndroidブラウザのバグにより、KitKatにアップグレードできます

Google Chrome、Internet Explorer、Firefoxでは、このタイプの攻撃は単にエラーになります。また、(ブラウザによっては)JavaScriptコンソールにログを生成し、ブラウザが攻撃をブロックしたことを通知します。ただし、何らかの理由で、Android4.4より前のデバイスのストックブラウザはそれを行いません。

このAndroidブラウザのバグにより、KitKatにアップグレードできます

ドメイン名を印刷することはそれほど壮観ではありません。ただし、Cookieにアクセスして、別のWebサイトで任意のJavaScriptを実行することは、かなり心配です。ありがたいことに、できることがあります。

何ができるか?

ユーザーにはここでいくつかのオプションがあります。まず、標準のAndroidブラウザの使用を停止します。それは古く、安全ではなく、現在市場にははるかに魅力的なオプションがあります。 GoogleはChromeforAndroidをリリースしました(ただし、Ice Cream Sandwich以降を実行しているデバイスのみ)。FirefoxとOperaのモバイル版も利用できます。

特にFirefoxMobileは注目に値します。すばらしいブラウジング体験を提供するだけでなく、Mozilla独自のモバイルオペレーティングシステムであるFirefox OS用のアプリケーションを実行したり、すばらしいアドオンを豊富にインストールしたりすることもできます。

https://www.youtube.com/watch?v=zCe_1DxBQDc

特にパラノイアになりたい場合は、FirefoxMobile用のNoScriptの移植もあります。ただし、ほとんどのWebサイトはクライアント側の優れた機能をレンダリングするためにJavaScriptに大きく依存しており、NoScriptを使用するとほとんどのWebサイトがほぼ確実に機能しなくなることに注意してください。これはおそらく、ジェームズ・ブルースがそれを「悪の三部作」の一部として説明した理由を説明しています。

最後に、可能であれば、Androidオペレーティングシステムの最新バージョンをインストールすることに加えて、Androidブラウザを最新バージョンに更新することをお勧めします。これにより、Googleがこのバグの修正をさらに後からリリースした場合でも、保護されます。

ただし、この問題がAndroid4.4KitKatのユーザーに影響を与える可能性があるという噂があります。しかし、読者にブラウザを切り替えるようにアドバイスするのに十分なほど実質的なものは何も現れていません。

主要なプライバシーバグ

間違いなく、これはスマートフォンの主要なセキュリティ問題です。ただし、別のブラウザに切り替えることで、事実上無防備になります。ただし、Androidオペレーティングシステムの全体的なセキュリティについては、多くの疑問が残ります。

超安全なiOSや(私のお気に入りの)Blackberry 10など、もう少し安全なものに切り替えますか?それとも、Androidに忠実であり続け、Paranoid AndroidやOmiromなどの安全なROMをインストールしますか?あるいは、それほど心配していないのかもしれません。

それについてチャットしましょう。コメントボックスは下にあります。あなたの考えを聞くのが待ちきれません。


  1. 最高に笑える Android アプリ

    ほとんどの場合、私たちはスマートフォンを生産的かつ効率的にすることに集中しているようです。その過程で、私たちは毎日の笑いと笑顔を脇に置きます。私たちがダウンロードするすべてのアプリの中で、間違いなく私たちを笑顔にできるアプリのためのスペースを作ることができます. Google Play ストアには面白いアプリがたくさんありますが、笑えるアプリのトップ 4 を紹介します。 1. 9GAG: ほとんどの人は 9GAG について聞いたことがあるに違いありません。 9GAG には何千もの写真とミームがあります。 Google Play ストアで高評価のアプリである 9GAG には、陽気なコンテンツ

  2. Microsoft に関するこの啓示は、あなたに衝撃を与え、そのセキュリティ専門知識に疑問を抱かせるでしょう

    ブログのまとめ - 最近のニュースによると、Microsoft は Office 365 マルウェア攻撃を知らなかったわけではありません。 Microsoft がそれを無視する理由はありましたか? 最近のツイートは、Microsoft の人気製品の 1 つである Office 365 に他ならぬセキュリティの欠如が明らかになり、論争を巻き起こしました。はい、ショックを受けるかもしれません。世界中で広く使用されている Windows PC とそのサービスは、私たちの安全を守るために何の努力もしていません。私たちが話していることを理解するには、読み進めてください! サイバーセキュリティの専門家