Pagina principal Androide Este error del navegador de Android te hará actualizar a KitKat

Este error del navegador de Android te hará actualizar a KitKat

  • Brian Curtis
  • 0
  • 2747
  • 829
Anuncio

¿Aún no has actualizado a Android 4.4 KitKat? Aquí hay algo que puede alentarlo un poco para hacer el cambio: se ha descubierto un problema grave con el navegador de stock en teléfonos anteriores a KitKat, y podría permitir que sitios web maliciosos accedan a los datos de otros sitios web. ¿Suena aterrador? Esto es lo que necesitas saber

El problema, que fue descubierto por primera vez por el investigador Rafay Baloch, considera que los sitios web maliciosos pueden inyectar JavaScript arbitrario en otros marcos, lo que podría ver el robo de cookies, o la estructura y el marcado de los sitios web que se interfieren directamente con.

Los investigadores de seguridad están desesperadamente preocupados por esto, con Rapid7, los creadores del popular marco de pruebas de seguridad, Metasploit, describiéndolo como una 'pesadilla de privacidad'. ¿Tiene curiosidad acerca de cómo funciona, por qué debería estar preocupado y qué puede hacer al respecto? Sigue leyendo para más.

Un principio básico de seguridad: omitido

El principio básico que debería evitar que este ataque ocurra en primer lugar se llama Política del mismo origen. En resumen, significa que el JavaScript del lado del cliente que se ejecuta en un sitio web no debería interferir con otro sitio web.

Esta política ha sido la base de la seguridad de las aplicaciones web, desde que se introdujo por primera vez en 1995 con Netscape Navigator 2. Todos los navegadores web han implementado esta política, como una característica de seguridad fundamental, y como resultado es increíblemente raro verlos. una vulnerabilidad en la naturaleza.

Para obtener más información sobre cómo funciona SOP, es posible que desee ver el video anterior. Esto fue tomado en un evento de OWASP (Open Web App Security Project) en Alemania, y es una de las mejores explicaciones del protocolo que he visto hasta ahora..

Cuando un navegador es vulnerable a un ataque de derivación SOP, hay mucho espacio para el daño. Un atacante podría hacer cualquier cosa, desde utilizar la API de ubicación introducida con la especificación HTML5 para averiguar dónde se encuentra una víctima, hasta robar cookies.

Afortunadamente, la mayoría de los desarrolladores de navegadores toman en serio este tipo de ataque. Lo que hace que sea aún más notable ver tal ataque 'en la naturaleza'.

Cómo funciona el ataque

Entonces, sabemos que la Política de Mismo Origen es importante. ¿Y sabemos que una falla masiva en el navegador de Android puede conducir a que los atacantes eludan esta medida de seguridad crucial? Pero como funciona?

Bueno, la prueba de concepto dada por Rafay Baloch se parece un poco a esto:

 
¿Entonces que tenemos aqui? Bueno, hay un iFrame. Este es un elemento HTML que se utiliza para permitir que los sitios web incorporen otra página web dentro de otra página web. No se usan tanto como solían ser, en gran parte porque son una pesadilla de SEO. 10 Errores comunes de SEO que pueden destruir su sitio web [Parte I] 10 Errores comunes de SEO que pueden destruir su sitio web [Parte I]. Sin embargo, a menudo los encuentras de vez en cuando, y siguen siendo parte de la especificación HTML, y aún no han sido desaprobados..
A continuación hay una etiqueta HTML que representa un botón de entrada. Este contiene algunos JavaScript especialmente diseñados (¿se da cuenta de que '\ u0000' final?) Que, cuando se hace clic, genera el nombre de dominio del sitio web actual. Sin embargo, debido a un error en el navegador de Android, termina accediendo a los atributos del iFrame y termina imprimiendo 'rhaininfosec.com' como un cuadro de alerta de JavaScript.
En Google Chrome, Internet Explorer y Firefox, este tipo de ataque simplemente generaría un error. (Dependiendo del navegador) también produciría un registro en la consola de JavaScript informando que el navegador bloqueó el ataque. Excepto, por alguna razón, el navegador estándar en dispositivos anteriores a Android 4.4 no hace eso.
Imprimir un nombre de dominio no es terriblemente espectacular. Sin embargo, obtener acceso a cookies y ejecutar JavaScript arbitrario en otro sitio web es bastante preocupante. Afortunadamente, hay algo que se puede hacer..
Qué se puede hacer?
Los usuarios tienen algunas opciones aquí. En primer lugar, deja de usar el navegador de Android. Es viejo, es inseguro y hay opciones mucho más atractivas en el mercado en este momento. Google lanzó Chrome para Android Google Chrome finalmente se lanza para Android (solo ICS) [Noticias] Google Chrome finalmente se lanza para Android (solo ICS) [Noticias] (aunque, solo para dispositivos que ejecutan Ice Cream Sandwich y versiones posteriores), e incluso hay dispositivos móviles variantes de Firefox y Opera disponibles.
Firefox Mobile en particular vale la pena prestarle atención. Además de ofrecer una experiencia de navegación increíble, también le permite ejecutar aplicaciones para el propio sistema operativo móvil de Mozilla, las 15 principales aplicaciones de Firefox OS: la lista definitiva para los nuevos usuarios de Firefox OS Las 15 principales aplicaciones de Firefox OS: la lista definitiva para nuevos Usuarios de Firefox OS Por supuesto, hay una aplicación para eso: después de todo, es tecnología web. El sistema operativo móvil Mozilla, el sistema operativo Firefox OS que, en lugar de código nativo, utiliza HTML5, CSS3 y JavaScript para sus aplicaciones. , así como instalar una gran cantidad de complementos increíbles Complementos imperdibles para Firefox en su dispositivo Android Complementos imperdibles para Firefox en su dispositivo Android Firefox para Android tiene un truco bajo la manga: complementos. Así como Firefox ofrece un sistema de extensión más potente que Chrome en el escritorio, supera a Chrome para Android al admitir extensiones. Puedes instalar ...    .
Si quieres ser especialmente paranoico, incluso hay un portado de NoScript para Firefox Mobile. Sin embargo, debe tenerse en cuenta que la mayoría de los sitios web dependen en gran medida de JavaScript para representar las delicadezas del lado del cliente ¿Qué es JavaScript y cómo funciona? [Explicación de la tecnología] ¿Qué es JavaScript y cómo funciona? [Explicación de la tecnología], y el uso de NoScript casi seguramente romperá la mayoría de los sitios web. Esto, quizás, explica por qué James Bruce lo describió como parte de la 'trifecta del mal AdBlock, NoScript & Ghostery - The Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil En los últimos meses, he sido contactado por un buen número de lectores que han tenido problemas para descargar nuestras guías, o por qué no pueden ver que los botones de inicio de sesión o los comentarios no se cargan; y en…    '.
Finalmente, si es posible, le recomendamos que actualice su navegador Android a la última versión, además de instalar la última versión del sistema operativo Android. Esto garantiza que si Google lanza una solución para este error más adelante, estará protegido.
Sin embargo, vale la pena señalar que hay rumores de que este problema podría afectar a los usuarios de Android 4.4 KitKat. Sin embargo, no ha surgido nada que sea lo suficientemente sustancial como para aconsejar a los lectores que cambien de navegador..
Un error importante de privacidad
No se equivoque, este es un problema importante de seguridad de teléfonos inteligentes Lo que realmente necesita saber sobre la seguridad de los teléfonos inteligentes Lo que realmente necesita saber sobre la seguridad de los teléfonos inteligentes. Sin embargo, al cambiar a un navegador diferente, se vuelve prácticamente invulnerable. Sin embargo, quedan varias preguntas sobre la seguridad general del sistema operativo Android.
¿Cambiarás a algo un poco más seguro, como la seguridad súper segura para teléfonos inteligentes iOS: ¿Pueden los iPhones obtener malware? Seguridad de teléfonos inteligentes: ¿pueden los iPhones obtener malware? El malware que afecta a "miles" de iPhones puede robar las credenciales de la App Store, pero la mayoría de los usuarios de iOS están perfectamente seguros, entonces, ¿cuál es el problema con iOS y el software malicioso? o (mi favorito) Blackberry 10 10 Razones para darle a BlackBerry 10 A Pruébelo hoy 10 Razones para darle a BlackBerry 10 A Pruébelo hoy BlackBerry 10 tiene algunas características bastante irresistibles. Aquí hay diez razones por las que es posible que desee probarlo. ? O tal vez te mantengas fiel a Android e instales una ROM segura como Paranoid Android u Omirom 5 razones por las que deberías flashear OmniROM a tu dispositivo Android 5 razones por las que deberías flashear OmniROM a tu dispositivo Android con un montón de opciones de ROM personalizadas allí, puede ser difícil decidirse por uno solo, pero realmente debería considerar OmniROM. ? O tal vez ni siquiera estás tan preocupado.
Hablemos sobre eso. El cuadro de comentarios está debajo. No puedo esperar para escuchar tus pensamientos.



Nadie ha comentado sobre este artículo todavía.

7 mejores trucos de cámara DIY probados y probados
Bricolaje
Cómo desmontar un disco duro y qué hacer con los imanes
Bricolaje
Cómo crear un filtro de bricolaje para formas Bokeh personalizadas
Bricolaje
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.