Dieser Android-Browser-Fehler führt dazu, dass Sie ein Upgrade auf KitKat durchführen

Müssen Sie noch auf Android 4.4 KitKat upgraden? Hier ist etwas, das Ihnen vielleicht ein wenig Mut machen könnte, den Umstieg zu ermöglichen: Es wurde ein schwerwiegendes Problem mit dem Aktienbrowser auf Mobiltelefonen vor KitKat entdeckt, und böswillige Websites könnten auf die Daten anderer Websites zugreifen. Hört sich gruselig an? Hier ist was Sie wissen müssen

Das Problem, das erstmals von dem Forscher Rafay Baloch entdeckt wurde, sieht vor, dass böswillige Websites beliebiges JavaScript in andere Frames einfügen können, wodurch Cookies gestohlen werden können oder die Struktur und das Markup von Websites direkt beeinträchtigt werden.

Sicherheitsforscher sind darüber äußerst besorgt, und Rapid7 - die Hersteller des beliebten Sicherheitstest-Frameworks Metasploit - bezeichnen es als "Alptraum der Privatsphäre". Neugierig, wie es funktioniert, warum sollten Sie sich Sorgen machen und was Sie dagegen tun können? Lesen Sie weiter für mehr.

Ein grundlegendes Sicherheitsprinzip: Umgangen

Das Grundprinzip, das diesen Angriff überhaupt verhindern soll, heißt Same Origin Policy. Kurz gesagt bedeutet dies, dass clientseitiges JavaScript, das auf einer Website ausgeführt wird, nicht in der Lage sein sollte, eine andere Website zu stören.

Diese Richtlinie ist eine Grundlage für die Sicherheit von Webanwendungen, seit sie 1995 mit Netscape Navigator 2 eingeführt wurde. Jeder Webbrowser hat diese Richtlinie als grundlegende Sicherheitsfunktion implementiert. Daher ist es äußerst selten, diese zu sehen eine Schwachstelle in freier Wildbahn.

Für weitere Informationen zur Funktionsweise von SOP möchten Sie das obige Video ansehen. Dies wurde bei einer Veranstaltung von OWASP (Open Web App Security Project) in Deutschland gemacht und ist eine der besten Erklärungen des Protokolls, die ich bisher gesehen habe.

Wenn ein Browser für einen SOP-Bypass-Angriff anfällig ist, ist viel Raum für Schäden vorhanden. Ein Angreifer könnte alles Mögliche tun, von der mit der HTML5-Spezifikation eingeführten Standort-API, um herauszufinden, wo sich ein Opfer befindet, bis hin zum Diebstahl von Cookies.

Glücklicherweise nehmen die meisten Browserentwickler diese Art von Angriff ernst. Umso bemerkenswerter ist es, einen solchen Angriff "in freier Wildbahn" zu sehen..

Wie der Angriff funktioniert

Wir wissen also, dass Same Origin Polity wichtig ist. Und wir wissen, dass ein massiver Ausfall des Android-Browsers potenziell dazu führen kann, dass Angreifer diese wichtige Sicherheitsmaßnahme umgehen. Aber wie funktioniert das??

Nun, der von Rafay Baloch gegebene Proof of Concept sieht in etwa so aus:

 
Also, was haben wir hier? Nun, es gibt einen iFrame. Dies ist ein HTML-Element, mit dem Websites eine andere Webseite in eine andere Webseite einbetten können. Sie werden nicht mehr so ​​oft verwendet wie früher, hauptsächlich weil sie ein SEO-Alptraum sind. 10 häufige SEO-Fehler, die Ihre Website zerstören können [Teil I] 10 häufige SEO-Fehler, die Ihre Website zerstören können [Teil I] Lesen Sie weiter. Sie finden sie jedoch immer noch von Zeit zu Zeit, und sie sind immer noch Teil der HTML-Spezifikation und wurden noch nicht verworfen.
Danach folgt ein HTML-Tag, das eine Eingabeschaltfläche darstellt. Dieses enthält ein speziell gestaltetes JavaScript (beachten Sie, dass das nachfolgende '\ u0000' folgt?), Das beim Klicken den Domainnamen der aktuellen Website ausgibt. Aufgrund eines Fehlers im Android-Browser greift er jedoch auf die Attribute des iFrame zu und druckt 'rhaininfosec.com' als JavaScript-Warnfeld.
Bei Google Chrome, Internet Explorer und Firefox würde diese Art von Angriff einfach fehlschlagen. Es würde (abhängig vom Browser) auch ein Protokoll in der JavaScript-Konsole erzeugen, dass der Browser den Angriff blockiert. Aus irgendeinem Grund tut dies der Standardbrowser auf Geräten mit Geräten vor Android 4.4 nicht.
Das Ausdrucken eines Domainnamens ist nicht besonders spektakulär. Der Zugriff auf Cookies und das Ausführen von beliebigem JavaScript auf einer anderen Website ist jedoch ziemlich besorgniserregend. Zum Glück gibt es etwas, was getan werden kann.
Was kann gemacht werden??
Benutzer haben hier einige Möglichkeiten. Stoppen Sie zunächst, den Standard-Android-Browser zu verwenden. Es ist alt, es ist unsicher und der Markt bietet weitaus mehr attraktive Optionen. Google hat Chrome für Android veröffentlicht. Google Chrome startet endlich für Android (nur ICS) [News] Google Chrome schließlich startet für Android (nur ICS) [News] Read More (obwohl nur für Geräte mit Ice Cream Sandwich und höher), und es gibt auch mobile Varianten von Firefox und Opera verfügbar.
Besonders Firefox Mobile ist darauf zu achten. Neben einem fantastischen Browser-Erlebnis können Sie auch Anwendungen für Mozillas eigenes mobiles Betriebssystem ausführen, Firefox OS Top 15 Firefox OS-Apps: Die ultimative Liste für neue Firefox OS-Benutzer Die 15 wichtigsten Firefox OS-Apps: Die ultimative Liste für neue Firefox OS-Benutzer Natürlich gibt es dafür eine App: Es ist doch Web-Technologie. Mozillas mobiles Betriebssystem Firefox OS, das anstelle von nativem Code HTML5, CSS3 und JavaScript für seine Apps verwendet. Lesen Sie mehr, und installieren Sie eine Vielzahl fantastischer Add-Ons Unbedenkliche Add-Ons für Firefox Auf Ihrem Android-Gerät Unwünschbare Add-Ons Für Firefox Auf Ihrem Android-Gerät Firefox für Android hat einen Trick im Ärmel: Add-Ons. So wie Firefox auf dem Desktop ein leistungsfähigeres Erweiterungssystem als Chrome bietet, schlägt es Chrome für Android und unterstützt Erweiterungen. Sie können installieren… Lesen Sie mehr  .
Wenn Sie besonders paranoid sein wollen, gibt es sogar eine Portierung von NoScript für Firefox Mobile. Allerdings ist zu beachten, dass die meisten Websites für die Darstellung clientseitiger Feinheiten stark von JavaScript abhängig sind. Was ist JavaScript und wie funktioniert es? [Technologie erklärt] Was ist JavaScript und wie funktioniert es? [Technologie erklärt] Lesen Sie mehr, und die Verwendung von NoScript wird fast sicher die meisten Websites beschädigen. Dies erklärt vielleicht, warum James Bruce es als Teil des Trifektas des bösen AdBlock, NoScript & Ghostery - Das Trifektas des Bösen AdBlock, NoScript & Ghostery - Das Trifektas des Bösen in den letzten Monaten beschrieben hat eine gute Anzahl von Lesern, die Probleme hatten, unsere Handbücher herunterzuladen, oder warum sie die Login-Buttons oder Kommentare nicht sehen können; und in… Read More '.
Wenn möglich, sollten Sie Ihren Android-Browser auf die neueste Version aktualisieren und zusätzlich die neueste Version des Android-Betriebssystems installieren. Dadurch wird sichergestellt, dass Sie geschützt werden, falls Google einen Fix für diesen Fehler veröffentlicht.
Allerdings ist es erwähnenswert, dass dieses Problem potenziell Benutzer von Android 4.4 KitKat treffen könnte. Es ist jedoch nichts aufgetaucht, das ausreicht, um den Lesern zu raten, den Browser zu wechseln.
Ein schwerwiegender Datenschutzfehler
Machen Sie keinen Fehler, dies ist eine wichtige Sicherheitslücke für Smartphones. Was Sie wirklich über Smartphone-Sicherheit wissen müssen Was Sie wirklich über Smartphone-Sicherheit wissen müssen Lesen Sie mehr. Durch den Wechsel zu einem anderen Browser werden Sie jedoch praktisch unverwundbar. Es gibt jedoch noch einige Fragen zur allgemeinen Sicherheit des Android-Betriebssystems.
Wechseln Sie zu etwas sichererem, zum Beispiel dem extrem sicheren iOS Smartphone. Sicherheit: Können iPhones Malware erhalten? Smartphone-Sicherheit: Können iPhones Malware erhalten? Malware, von der "Tausende" von iPhones betroffen sind, kann App Store-Anmeldeinformationen stehlen, aber die Mehrheit der iOS-Benutzer ist absolut sicher - wie sieht es also mit iOS und Schurken-Software aus? Weitere Informationen oder (mein Favorit) Blackberry 10 10 Gründe, BlackBerry 10 einen Versuch zu geben Heute 10 Gründe, BlackBerry 10 einen Versuch zu geben Heute hat BlackBerry 10 einige unwiderstehliche Funktionen. Hier sind zehn Gründe, warum Sie es vielleicht versuchen sollten. Weiterlesen  ? Oder werden Sie vielleicht Android treu bleiben und ein sicheres ROM wie Paranoid Android oder Omirom installieren? 5 Gründe, warum Sie OmniROM auf Ihr Android-Gerät laden sollten 5 Gründe, warum Sie OmniROM auf Ihr Android-Gerät laden sollten Mit einer Reihe von benutzerdefinierten ROM-Optionen Dort kann es schwierig sein, sich auf nur einen zu einigen - aber Sie sollten OmniROM wirklich in Betracht ziehen. Weiterlesen  ? Oder vielleicht sind Sie nicht einmal so besorgt.
Lass uns darüber reden. Das Kommentarfeld befindet sich unten. Ich kann es kaum erwarten, deine Gedanken zu hören.
 
Erfahren Sie mehr über: Smartphone-Sicherheit.