Ce bug de navigateur Android vous obligera à passer à KitKat

Êtes-vous encore sur le point de passer à Android 4.4 KitKat? Voici quelque chose qui pourrait vous donner un peu d'encouragement à opérer ce changement: un problème sérieux a été découvert avec le navigateur stock sur les téléphones pré-KitKat et pourrait permettre à des sites Web malveillants d'accéder aux données d'autres sites. Ça fait peur? Voici ce que vous devez savoir

Le problème - découvert pour la première fois par le chercheur Rafay Baloch - montre que des sites Web malveillants peuvent injecter du code JavaScript arbitraire dans d'autres cadres, ce qui pourrait entraîner le vol de cookies ou l'interférence directe entre la structure et le balisage de sites Web..

Les chercheurs en sécurité s’inquiètent désespérément de cette situation. Rapid7, le fabricant du très populaire système de test de sécurité Metasploit, le décrit comme un «cauchemar en matière de protection de la vie privée». Curieux de savoir comment cela fonctionne, pourquoi vous devriez vous inquiéter et ce que vous pouvez faire à ce sujet? Lire la suite pour plus.

Un principe de sécurité de base: contourné

Le principe de base qui devrait empêcher cette attaque de se produire en premier lieu est appelé politique de même origine. En bref, cela signifie que le code JavaScript côté client exécuté sur un site Web ne doit pas pouvoir interférer avec un autre site Web..

Cette politique constitue la base de la sécurité des applications Web depuis son introduction en 1995 avec Netscape Navigator 2. Chaque navigateur Web a mis en œuvre cette politique, en tant que caractéristique de sécurité fondamentale. Il est donc extrêmement rare de voir un tel une vulnérabilité à l'état sauvage.

Pour plus d'informations sur le fonctionnement de SOP, vous pouvez visionner la vidéo ci-dessus. Cela a été pris lors d'un événement OWASP (projet de sécurité Open Web App) en Allemagne et constitue l'une des meilleures explications du protocole que j'ai vu jusqu'à présent..

Lorsqu'un navigateur est vulnérable à une attaque par contournement des SOP, les dégâts sont nombreux. Un attaquant pourrait pratiquement faire n'importe quoi, qu'il s'agisse d'utiliser l'API d'emplacement introduite avec la spécification HTML5 pour rechercher l'emplacement d'une victime ou de voler des cookies..

Heureusement, la plupart des développeurs de navigateurs prennent ce type d’attaque au sérieux. Ce qui rend d'autant plus remarquable de voir une telle attaque "à l'état sauvage".

Comment fonctionne l'attaque

Donc, nous savons que la même origine est importante. Et nous savons qu'un échec massif du navigateur Android en stock peut potentiellement amener des attaquants à contourner cette mesure de sécurité cruciale. Mais comment ça marche?

Eh bien, la preuve de concept donnée par Rafay Baloch ressemble un peu à ceci:

 
Alors, qu'est-ce qu'on a ici? Eh bien, il y a un iFrame. Il s'agit d'un élément HTML utilisé pour permettre aux sites Web d'intégrer une autre page Web dans une autre page Web. Ils ne sont plus utilisés autant qu'auparavant, en grande partie parce qu'ils sont un cauchemar pour le référencement. 10 erreurs courantes en matière de référencement qui peuvent détruire votre site Web [Partie I] 10 erreurs en matière de référencement qui peuvent détruire votre site Web [Partie I] En savoir plus. Cependant, vous les trouvez souvent de temps en temps, et ils font toujours partie de la spécification HTML et ne sont pas encore obsolètes..
Suit une balise HTML représentant un bouton de saisie. Celui-ci contient du code JavaScript spécialement conçu (notant la mention '\ u0000'?) Qui, lorsque vous cliquez dessus, affiche le nom de domaine du site Web actuel. Cependant, en raison d'une erreur dans le navigateur Android, il finit par accéder aux attributs de l'iFrame, puis en imprimant "rhaininfosec.com" sous forme de boîte d'alerte JavaScript..
Sur Google Chrome, Internet Explorer et Firefox, ce type d'attaque serait tout simplement une erreur. Selon le navigateur, il aurait également généré un journal dans la console JavaScript, indiquant que le navigateur avait bloqué l'attaque. Sauf pour une raison quelconque, le navigateur de stock sur les appareils antérieurs à Android 4.4 ne le fait pas.
Imprimer un nom de domaine n'est pas vraiment spectaculaire. Cependant, avoir accès aux cookies et exécuter du code JavaScript arbitraire sur un autre site Web est plutôt inquiétant. Heureusement, il y a quelque chose qui peut être fait.
Ce qui peut être fait?
Les utilisateurs ont quelques options ici. Tout d'abord, arrêtez d'utiliser le navigateur Android. C'est vieux, c'est peu sûr et il y a des options beaucoup plus convaincantes sur le marché en ce moment. Google lance Chrome pour Android Google Chrome enfin lancé pour Android (ICS uniquement) [Actualités] Google Chrome enfin lancé pour Android (ICS uniquement) [Actualités] En savoir plus (bien que, uniquement pour les appareils exécutant Ice Cream Sandwich et plus,) même les variantes mobiles de Firefox et Opera disponibles.
Firefox Mobile en particulier mérite une attention particulière. En plus d'offrir une expérience de navigation étonnante, il vous permet également d'exécuter des applications pour le système d'exploitation mobile de Mozilla, Firefox OS. Les 15 meilleures applications pour Firefox OS: la liste ultime pour les nouveaux utilisateurs de Firefox OS Les 15 meilleures applications pour OS Firefox: la liste ultime pour les nouvelles Utilisateurs de Firefox OS Bien sûr, il existe une application pour cela: c'est la technologie Web, après tout. Le système d'exploitation mobile de Mozilla, Firefox OS, qui, au lieu du code natif, utilise HTML5, CSS3 et JavaScript pour ses applications. Lisez-en plus, et installez une multitude d’add-ons impressionnants. Addons incontournables pour Firefox sur votre appareil Android. Addons incontournables pour Firefox sur votre appareil Android. Firefox pour Android a un tour dans son sac: les add-ons. Tout comme Firefox offre un système d’extension plus puissant que Chrome sur le bureau, il bat Chrome pour Android en prenant en charge les extensions. Vous pouvez installer… En savoir plus  .
Si vous voulez être particulièrement paranoïaque, il existe même un portage de NoScript pour Firefox Mobile. Cependant, il convient de noter que la plupart des sites Web dépendent fortement de JavaScript pour rendre les subtilités côté client. Qu'est-ce que JavaScript et comment cela fonctionne-t-il? [Technologie expliquée] Qu'est-ce que JavaScript et comment ça marche? [Technologie expliquée] En savoir plus, et l’utilisation de NoScript va certainement casser la plupart des sites Web. Cela explique peut-être pourquoi James Bruce l’a décrite comme faisant partie de la "trifecta du mal" AdBlock, NoScript & Ghostery - La Trifecta du mal AdBlock, NoScript & Ghostery - La Trifecta du mal Ces derniers mois, j’ai contacté par un bon nombre de lecteurs qui ont eu des problèmes pour télécharger nos guides, ou pourquoi ils ne peuvent pas voir les boutons de connexion ou les commentaires qui ne se chargent pas; et dans… Read More '.
Enfin, si possible, vous seriez encouragé à mettre à jour votre navigateur Android vers la dernière version, en plus d'installer la dernière version du système d'exploitation Android. Cela garantit que si Google publie un correctif pour ce bogue plus tard, vous êtes protégé.
Cependant, il convient de noter que ce problème pourrait toucher les utilisateurs d'Android 4.4 KitKat. Cependant, rien n’est apparu qui soit suffisamment important pour que je conseille aux lecteurs de changer de navigateur..
Un bug majeur de la vie privée
Ne vous y trompez pas, il s'agit d'un problème de sécurité majeur pour les smartphones. Ce que vous devez vraiment savoir sur la sécurité des smartphones Ce que vous devez absolument savoir sur la sécurité des smartphones En savoir plus. Cependant, en passant à un autre navigateur, vous devenez pratiquement invulnérable. Cependant, un certain nombre de questions demeurent quant à la sécurité globale du système d'exploitation Android..
Allez-vous passer à quelque chose d'un peu plus sécurisé, comme le super-sécurisé des smartphones iOS: les iPhones peuvent-ils obtenir des logiciels malveillants? Sécurité des téléphones intelligents: les iPhones peuvent-ils obtenir un logiciel malveillant? Les logiciels malveillants affectant des "milliers" d'iPhones peuvent dérober les informations d'identification de l'App Store, mais la majorité des utilisateurs d'iOS sont parfaitement sûrs. Quel est donc le problème des logiciels iOS et non fiables? En savoir plus ou (mon préféré) Blackberry 10 10 raisons de donner à BlackBerry 10 A Essayer aujourd'hui 10 raisons de donner à BlackBerry 10 A Essayer aujourd'hui BlackBerry 10 a des fonctionnalités assez irrésistibles. Voici dix raisons pour lesquelles vous voudrez peut-être essayer. Lire la suite  ? Ou peut-être resterez-vous fidèle à Android et installerez-vous une ROM sécurisée comme Paranoid Android ou Omirom 5 raisons pour lesquelles vous devez flasher OmniROM sur votre périphérique Android là, il peut être difficile de s’en tenir à un seul, mais vous devriez vraiment envisager OmniROM. Lire la suite  ? Ou peut-être que vous n'êtes même pas inquiet.
Parlons-en. La boîte de commentaires est ci-dessous. J'ai hâte d'entendre tes pensées.
 
En savoir plus sur: Smartphone Security.