Уязвимость обхода SOP в стандартном браузере Android позволяет хакерам красть данные из открытых вкладок

Table Of Contents

• Уязвимость обхода SOP в стандартном браузере Android
• Затронуты только стандартные браузеры Android
• Доказательство концепции
• Уязвимость обхода SOP исправлена в Android KitKat 4.4 и выше
• Пользователи старых Android >4.4 все еще уязвимы?
• Уязвимые смартфоны

Уязвимость обхода SOP в стандартном браузере Android

Рафай Балоч, исследователь в области безопасности, обнаружил уязвимость в стандартных браузерах Android, которую потенциальные хакеры могут использовать для кражи конфиденциальных данных из открытых вкладок/страниц. Последняя уязвимость обхода политики одного источника (SOP) является второй, обнаруженной исследователем Рафайом Балочем, который в прошлом месяце обнаружил первую, CVE-2014-6041.

Затронуты только стандартные браузеры Android

Уязвимость обхода политики одного источника (SOP) затрагивает только стандартный браузер Android. Уязвимость заключается в том, как Javascript обрабатывается функцией Android, отвечающей за загрузку URL-адресов фреймов. Обычно в любом браузере SOP предотвращает доступ JavaScript на одной странице или вкладке к данным/содержимому на другой странице/вкладке. Но в браузере Android есть уязвимость, которая позволяет потенциальному хакеру обойти SOP и читать/собирать данные на других вкладках. Проще говоря, если у вас открыта вкладка/страница, где вы ввели данные своей кредитной карты, и вы открываете страницу с JavaScript, который обошел SOP, есть вероятность, что хакер сможет прочитать данные кредитной карты с другой открытой страницы.

Доказательство концепции

Рафай опубликовал доказательство концепции на своем блоге, чтобы доказать, что браузеры Android действительно уязвимы. PoC приведен ниже, любезно предоставленный Рафайом Балочем.

Рафай говорит в своем блоге: “Поскольку моя недавняя уязвимость обхода SOP для Android [CVE-2014-6041] вызвала много обсуждений в сообществе информационной безопасности, я был мотивирован провести дополнительные исследования по браузеру Android, и оказалось, что ситуация гораздо хуже, чем я думал. Мне удалось вызвать несколько интересных уязвимостей внутри браузера Android, одной из которых является еще одна уязвимость обхода политики одного источника. Усугубляет ситуацию то, что тот же обход SOP уже был исправлен в Chrome много лет назад, однако патчи не были применены к браузеру Android < 4.4.”

Уязвимость обхода SOP исправлена в Android KitKat 4.4 и выше

Рафай говорит, что Google заметил уязвимость и исправил ее в своей последней операционной системе, Android KitKat 4.4. Но по странной причине она не была исправлена в версиях Android ниже 4.4. В отдельном посте на ThreatPost Google заявила, что эта уязвимость была исправлена с выходом Android 4.1-4.3, также известного как Jellybean.

Пользователи старых Android >4.4 все еще уязвимы?

Как уже упоминалось, пользователи старых Android все еще уязвимы к этой серьезной угрозе безопасности. Google выпускает последние версии Android на своих устройствах stock edition, таких как Google Nexus и т.д., а многие крупные производители выпускают последние прошивки для своих флагманских продуктов, но большинство смартфонов и планшетов на рынке не являются устройствами Google Play Edition и не являются флагманами, такими как Sony Z3 или Samsung Galaxy s5.

Эта уязвимость затрагивает большинство пользователей, которые находятся в сегменте покупателей смартфонов нижнего и среднего класса. “Это серьезная проблема”, - сказал Тед Юлл, вице-президент по мобильным услугам компании по безопасности viaForensics. “Поскольку браузер был включен по умолчанию на многих устройствах до KitKat (версии 4.4), потенциально сотни тысяч пользователей могут быть затронуты”, - добавил он.

Уязвимые смартфоны

Смартфоны, которые, вероятно, уязвимы, включают Samsung Galaxy S3, Samsung Galaxy Note 2 и все смартфоны и планшеты Samsung среднего и низкого сегмента, LG Optimus G, LG G2 и все смартфоны и планшеты LG среднего и низкого сегмента, а также Motorola Droid RAZR, вся линейка смартфонов Sony, кроме тех, которые были обновлены до Android 4.4 KitKat.

К счастью, только стандартные браузеры Android затронуты уязвимостью обхода SOP. Если вы используете любой смартфон/планшет Android с операционной системой ниже Android 4.4 KitKat, рекомендуется использовать веб-серфинг через Chrome, Firefox или любой другой браузер. Если вы все еще не скачали Chrome или Firefox, вам рекомендуется скачать их сейчас из Google Play Store и установить ЭТОТ браузер в качестве вашего стандартного.

Если вы используете рутированный Android-устройство, вам следует удалить стандартный браузер Android.

Когда их попросили прокомментировать эту серьезную уязвимость и что они делают для защиты своих клиентов, AT&T не ответила на запрос о комментарии, в то время как Verizon Wireless указала, что у нее есть веб-сайт, где клиенты могут проверить, доступны ли обновления для их телефона.

“Мы регулярно предоставляем обновления программного обеспечения после тщательного тестирования, чтобы гарантировать, что клиенты получают отличный опыт”, - сказала Дебра Льюис, пресс-секретарь компании.