На 45 % Android-устройств стоит браузер с серьёзной уязвимостью |
Добавлено - 13.10.2014 | |||
На 45 % Android-устройств в мире установлен браузер, содержащий две очень серьёзные уязвимости. Об этом рассказали в компании Lookout, которая специализируется на безопасности мобильных устройств. Две упомянутые уязвимости были обнаружены в сентябре специалистом Рэйфеем Бэйлоком (Rafay Baloch), и некоторые исследователи назвали их просто катастрофическими. Они позволяют обойти ключевой барьер безопасности системы, так называемый SOP (same-origin policy, принцип одинакового источника). SOP не позволяет скриптам из одного домена взаимодействовать с данными другого домена. Например, скрипты, работающие на странице домена А, не должны взаимодействовать с контентом, который загружается на эту же страницу с домена B. Без такого запрета злоумышленники могли бы создать фишинговую страницу с невидимым фреймом, в котором будет загружен, скажем, Gmail, и таким образом заставить пользователей ввести в нём свои логин и пароль. Бэйлок обнаружил, что на устройствах под управлением Android до версии 4.4 существует уязвимость обхода SOP, а точнее, даже две. Проблема вызвана тем, что на этих устройствах штатным браузером является так называемый AOSP. По данным Google, это 75 % всех Android-устройств, которые активно используют Play Store. На более новых устройствах по умолчанию стоит Chrome, в котором эта «дыра» устранена. Google уже выпустила заплатки для двух уязвимостей, позволяющих обойти SOP, однако многие производители пока не установили их на свои устройства. По данным Lookout, примерно на 45 % Android-устройств стоит браузер AOSP без этих заплаток. В некоторых странах эта цифра значительно выше, например, в Японии (81 %), тогда как в других ниже (34 % в США).
|