Anuncio
¿Aún no has actualizado a Android 4.4 KitKat? Aquí hay algo que puede alentarlo un poco para hacer el cambio: un problema grave con el stock se ha descubierto un navegador en teléfonos anteriores a KitKat y podría permitir que sitios web maliciosos accedan a los datos de otros sitios web ¿Suena aterrador? Esto es lo que necesitas saber
El problema, que era descubierto por primera vez por el investigador Rafay Baloch - ve sitios web maliciosos que pueden inyectar JavaScript arbitrario en otros marcos, lo que podría ver el robo de cookies, o la estructura y el marcado de los sitios web que se interfieren directamente.
Los investigadores de seguridad están desesperadamente preocupados por esto, con Rapid7, los creadores del popular marco de pruebas de seguridad, Metasploit. describiéndolo como una "pesadilla de privacidad". ¿Tiene curiosidad acerca de cómo funciona, por qué debería estar preocupado y qué puede hacer al respecto? Sigue leyendo para más.
Un principio básico de seguridad: omitido
El principio básico que debería evitar que este ataque ocurra en primer lugar se llama Política del mismo origen. En resumen, significa que el JavaScript del lado del cliente que se ejecuta en un sitio web no debería interferir con otro sitio web.
Esta política ha sido la base de la seguridad de las aplicaciones web, desde que se introdujo por primera vez en 1995 con Netscape Navigator 2. Todos los navegadores web han implementado esta política, como una característica de seguridad fundamental, y como resultado es increíblemente raro ver tal vulnerabilidad en la naturaleza.
Para obtener más información sobre cómo funciona SOP, es posible que desee ver el video anterior. Esto fue tomado en un evento OWASP (Open Web App Security Project) en Alemania, y es una de las mejores explicaciones del protocolo que he visto hasta ahora.
Cuando un navegador es vulnerable a un ataque de bypass SOP, hay mucho espacio para el daño. Un atacante podría hacer cualquier cosa, desde utilizar la API de ubicación introducida con la especificación HTML5 para averiguar dónde se encuentra una víctima, hasta robar cookies.
Afortunadamente, la mayoría de los desarrolladores de navegadores toman en serio este tipo de ataque. Lo que hace que sea aún más notable ver tal ataque "en la naturaleza".
Cómo funciona el ataque
Entonces sabemos La misma política de origen es importante. ¿Y sabemos que una falla masiva del navegador de Android puede potencialmente llevar a los atacantes a eludir esta medida de seguridad crucial? pero como funciona?
Bueno, la prueba de concepto dada por Rafay Baloch se parece un poco a esto:
[YA NO ESTÁ DISPONIBLE]
¿Entonces que tenemos aqui? Bueno, hay un iFrame. Este es un elemento HTML que se utiliza para permitir que los sitios web incorporen otra página web dentro de otra página web. No se usan tanto como solían ser, en gran parte porque son una pesadilla SEO 10 errores comunes de SEO que pueden destruir tu sitio web [Parte I] Lee mas . Sin embargo, a menudo los encuentras de vez en cuando, y siguen formando parte de la especificación HTML, y aún no han quedado en desuso.
Siguiendo eso es un Etiqueta HTML que representa Un botón de entrada. Este contiene algunos JavaScript especialmente diseñados (¿se da cuenta de que se arrastra "\ u0000"?) Que, al hacer clic, genera el nombre de dominio del sitio web actual. Sin embargo, debido a un error en el navegador de Android, termina accediendo a los atributos del iFrame y termina imprimiendo "rhaininfosec.com" como un cuadro de alerta de JavaScript.
En Google Chrome, Internet Explorer y Firefox, este tipo de ataque simplemente generaría un error. (Dependiendo del navegador) también produciría un registro en la consola de JavaScript informando que el navegador bloqueó el ataque. Excepto, por alguna razón, el navegador estándar en dispositivos anteriores a Android 4.4 no hace eso.
Imprimir un nombre de dominio no es terriblemente espectacular. Sin embargo, obtener acceso a cookies y ejecutar JavaScript arbitrario en otro sitio web es bastante preocupante. Afortunadamente, hay algo que se puede hacer.
¿Qué se puede hacer?
Los usuarios tienen algunas opciones aquí. En primer lugar, deja de usar el navegador de Android. Es viejo, es inseguro y hay opciones mucho más atractivas en el mercado en este momento. Google tiene lanzó Chrome para Android Google Chrome finalmente se lanza para Android (solo ICS) [Noticias] Lee mas (aunque solo para dispositivos con Ice Cream Sandwich y versiones posteriores), e incluso hay variantes móviles de Firefox y Opera disponibles.
Firefox Mobile en particular vale la pena prestarle atención. Además de ofrecer una experiencia de navegación increíble, también te permite ejecutar aplicaciones para el sistema operativo móvil propio de Mozilla, Firefox OS Las 15 principales aplicaciones de Firefox OS: la lista definitiva para nuevos usuarios de Firefox OSPor supuesto, hay una aplicación para eso: después de todo, es tecnología web. El sistema operativo móvil Mozilla, el sistema operativo Firefox OS que, en lugar de código nativo, utiliza HTML5, CSS3 y JavaScript para sus aplicaciones. Lee mas , así como instalar un gran cantidad de complementos increíbles Los 10 mejores complementos de Firefox para AndroidUno de los mejores aspectos de Firefox en Android es su compatibilidad con complementos. Echa un vistazo a estos complementos esenciales de Firefox para Android. Lee mas .
Si quieres ser especialmente paranoico, incluso hay una portabilidad de NoScript para Firefox Mobile. Sin embargo, debe tenerse en cuenta que la mayoría de los sitios web dependen en gran medida de JavaScript para renderizar sutilezas del lado del cliente ¿Qué es JavaScript y cómo funciona? [Tecnología explicada] Lee mas , y usar NoScript casi seguramente romperá la mayoría de los sitios web. Esto, tal vez, explica por qué James Bruce lo describió como parte de la ‘trifecta del mal AdBlock, NoScript y Ghostery: la trifecta del malEn los últimos meses, un buen número de lectores me han contactado y han tenido problemas para descargar nuestras guías, o por qué no pueden ver que los botones de inicio de sesión o los comentarios no se cargan; y en... Lee mas ‘.
Finalmente, si es posible, le recomendamos que actualice su navegador de Android a la última versión, además de instalar la última versión del sistema operativo Android. Esto garantiza que si Google lanza una solución para este error más adelante, estará protegido.
Aunque, vale la pena señalar que hay rumores de que este problema podría afectar a los usuarios de Android 4.4 KitKat. Sin embargo, no ha surgido nada que sea lo suficientemente sustancial como para aconsejar a los lectores que cambien de navegador.
Un error importante de privacidad
No se equivoquen, este es un importante problema de seguridad de los teléfonos inteligentes Lo que realmente necesita saber sobre la seguridad de los teléfonos inteligentes Lee mas . Sin embargo, al cambiar a un navegador diferente, se vuelve prácticamente invulnerable. Sin embargo, quedan varias preguntas sobre la seguridad general del sistema operativo Android.
¿Cambiarás a algo un poco más seguro, como iOS súper seguro Seguridad de los teléfonos inteligentes: ¿pueden los iPhone obtener malwareEl malware que afecta a "miles" de iPhones puede robar las credenciales de la App Store, pero la mayoría de los usuarios de iOS están perfectamente seguros, entonces, ¿cuál es el problema con iOS y el software malicioso? Lee mas o (mi favorito) Blackberry 10 10 razones para probar BlackBerry 10 hoyBlackBerry 10 tiene algunas características bastante irresistibles. Aquí hay diez razones por las que es posible que desee probarlo. Lee mas ? O tal vez se mantendrá fiel a Android e instalará una ROM segura como Paranoid Android o Omirom 5 razones por las que debe actualizar OmniROM a su dispositivo AndroidCon un montón de opciones de ROM personalizadas, puede ser difícil decidirse por una sola, pero realmente debería considerar OmniROM. Lee mas ? O tal vez ni siquiera estás tan preocupado.
Hablemos sobre eso. El cuadro de comentarios está debajo. No puedo esperar para escuchar tus pensamientos.
Matthew Hughes es un desarrollador y escritor de software de Liverpool, Inglaterra. Raramente se lo encuentra sin una taza de café negro fuerte en la mano y adora absolutamente su Macbook Pro y su cámara. Puedes leer su blog en http://www.matthewhughes.co.uk y síguelo en twitter en @matthewhughes.