Безопасность · 3 min read · Oct 24, 2025

Уязвимость обхода SOP в устаревшем Android оставляет миллиарды смартфонов и планшетов под угрозой

Table Of Contents

  • Уязвимость устаревшего Android оставляет миллиарды смартфонов и планшетов под угрозой
  • Универсальная уязвимость межсайтового скриптинга
  • Недостаток открытого исходного кода
  • Доказательство концепции
  • Доказательство концепции с использованием вызова postMessage
  • Уязвимый код

Уязвимость устаревшего Android оставляет миллиарды смартфонов и планшетов под угрозой

Пакистанский исследователь Рафай Балоч обнаружил уязвимость обхода SOP, присутствующую в стандартном браузере Android (стоковом браузере), который поставляется в каждой версии открытой операционной системы вплоть до 4.4 KitKat. Эксперт координировал раскрытие уязвимости с компанией по безопасности Rapid7, которая выпустила модуль Metasploit для этого. Стандартный браузер работает на устройствах примерно 70% пользователей смартфонов, использующих более старые версии Android, что делает миллиарды пользователей уязвимыми к этой проблеме.

Универсальная уязвимость межсайтового скриптинга

Уязвимость, которая затрагивает компонент WebView, возникает «при замене атрибута ‘data’ данного HTML-объекта на схему URL JavaScript», объяснил Тодд Бирдсли, технический руководитель фреймворка Metasploit. Злоумышленник может использовать уязвимость UXSS для сбора данных cookie и содержимого страницы из уязвимого окна браузера, заявила Rapid7. Компания отметила, что целевые URL-адреса, использующие X-Frame-Options, не подвержены этой уязвимости. Уязвимость может быть использована во всех версиях браузера Android Open Source Platform (AOSP), включая те, которые используют WebView.

Недостаток открытого исходного кода

Google выпустила патч для этой уязвимости. Однако серьезным недостатком работы сообщества Android является то, что производители должны распространять обновления своим пользователям — что большинство из них не делает. Это ощущается, когда Google выпускает новые версии Android, и это также ощущается сейчас. Поскольку большинство производителей могут не заботиться об обновлении, миллионы пользователей, использующих более старую версию Android, остаются с этой уязвимостью навсегда, если только они не купят новый телефон, который поставляется с последней версией Android 5.0 Lollipop. Но эти пользователи, как правило, принадлежат к сегменту низкого и среднего уровня и не могут позволить себе новый телефон в первую очередь, поэтому покупка нового телефона для них не является реальным вариантом.

«Для многих людей покупка нового телефона просто не является практичным вариантом; люди, которые с наибольшей вероятностью пострадают от ‘устаревших’ ошибок Android, — это те же люди, которые не могли позволить себе дорогой ‘последний’ Android-аппарат в первую очередь», — сказал Бирдсли в блоге. «Другими словами, похоже, что миллиард телефонов не увидят этот патч в ближайшее время, если вообще когда-либо. Приятно, что патч существует, но Google, похоже, не имеет практического способа распространить его по всему миру.»

Доказательство концепции

Следующее является доказательством концепции: