Navegador nativo do Android tem vulnerabilidade

A vulnerabilidade de segurança grave afeta o navegador padrão do sistema operacional Android inferior a 4,4, de acordo com os dados fornecidos pelo Google dashboard oficial quase a 66% dos dispositivos Android é impactado. A falha de segurança permite que um atacante para ignorar a política de mesma origem (SOP).

Android mesma falha Política de Origem

O Android política de mesma origem (SOP) vulnerabilidade ( CVE-2.014-6.041 ) foi divulgado pela primeira vez em setembro 2014 pelo especialista em segurança Rafay Baloch, que percebeu que o AOSP (Android plataforma open source) navegador instalado no Android 4.2.1 era vulnerável a política de mesma origem (SOP) vulnerabilidade que permite que um site para roubar dados de outro.

"O Navegador Android 4.2.1 aplicação no Android permite que atacantes remotos para ignorar a Política de Origem Same via um atributo trabalhada contendo um personagem \ u0000, como demonstrado por um onclick =" window.open ('\ u0000javascript:. Sequência ", afirma a descrição do  CVE-2014-6041  vulnerabilidade .

De acordo com especialistas em segurança da Trend Micro e Facebook, muitos usuários da rede social popular têm sido alvo de ataques cibernéticos que tentam explorar a Política de Origem (SOP) vulnerabilidade Same. Os atacantes usaram um Metasploit código de exploração publicamente disponível para executar o ataque de uma forma fácil e automatizado.

"Alguns meses atrás, nós discutimos a mesma vulnerabilidade Android Política de Origem (SOP), que foi mais tarde encontrado para ter um maior alcance do que se pensava. Agora, sob a colaboração da Trend Micro e Facebook, os ataques são encontrados que ativamente tentativa de explorar esta vulnerabilidade particular, cujo código acreditamos foi baseada na disposição do público código Metasploit. ", Afirma um post publicado pela TrendMicro.

Devido ao enorme impacto da Política de Origem (SOP) vulnerabilidade Same, o especialista Tod Beardsley apelidou-o " desastre de privacidade ". Beardsley é um dos desenvolvedores para  o  Metasploit equipe e forneceu um POC-vídeo para demonstrar que a falha é " suficientemente chocante . "

"Ao malforming um javascript: URL manipulador com um byte prefixado nulo, o AOSP, ou Android plataforma de código aberto (AOSP) Browser) não cumprir a Política (SOP) de controle de segurança do navegador de mesma origem ", Tod Beardsley da Rapid7 escreveu em um post . " O que isto significa é, qualquer site arbitrária (digamos, uma controlada por um spammer ou um espião) pode espreitar o conteúdo de qualquer outra página web. Imagine que você foi a uma atacantes site enquanto você teve seu webmail aberto em outra janela - o atacante poderia raspar seus dados de e-mail e ver o que o seu navegador vê. Pior, ele poderia prender uma cópia do seu cookie de sessão e seqüestrar sua sessão completamente, e ler e escrever webmail em seu nome.  Isso é um desastre de privacidade. A mesma origem política é a pedra angular da privacidade na web, e é um conjunto de componentes críticos para a segurança do navegador web. Oh, e fica pior. "

A política de mesma origem é um fundamental no modelo de segurança de aplicativos web implementados para proteger experiência de navegação dos usuários.

"Os scripts de política permite correr em páginas de originários do mesmo local - uma combinação de regime, hostname, eo número da porta -. Acessar DOM do outro, sem restrições específicas, mas impede o acesso ao DOM em locais diferentes", lê Wikipedia.

De acordo com a Trend Micro os atacantes servido um link através de uma página no Facebook em particular que redirecionar os usuários do Facebook para um site malicioso.

"Este ataque tem como alvo usuários do Facebook através de um link em uma página no Facebook em particular que leva a um site malicioso. Esta página contém ofuscado JavaScript código, que inclui uma tentativa de carregar a URL Facebook em um quadro interno. O usuário só verá uma página em branco como HTML da página foi configurado para não exibir qualquer coisa através da sua tag div, enquanto o quadro interno tem um tamanho de um pixel. ", Continua o post.

Android mesma falha Política de Origem Facebook

O código JavaScript pode ser explorada por um atacante para realizar várias atividades por conta Facebook da vítima, incluindo:

Adicionando Amigos
Como e Siga qualquer página do Facebook
Modificar Assinaturas
Autorizar aplicativos do Facebook para acessar o perfil público do usuário, lista de amigos, informações de aniversário, gosta.
Para roubar tokens de acesso da vítima e enviá-los para o seu servidor.
Coletar dados de análise (como a localização das vítimas, referenciador HTTP, etc.) usando o serviço legítimo.
Os especialistas notaram que os criminosos por trás desses ataques contar com um aplicativo BlackBerry oficial mantido pelo BlackBerry, a fim de roubar os tokens de acesso usadas para cortar as contas do Facebook.

"O malware móvel usando o SOP Android Exploit (Android Same Origin Policy Bypass Exploit) é projetado para atacar usuários do Facebook, independentemente da sua plataforma de dispositivos móveis", disse Blackberry Trend Micro em um comunicado. "No entanto, ele tenta tirar vantagem do site BlackBerry marca usando nosso aplicativo web Facebook. BlackBerry trabalha continuamente com a Trend Micro e Facebook para detectar e mitigar esse ataque. Note-se que o problema não é o resultado de um exploit para hardware, software, ou rede de Blackberry ".

Para corrigir a mesma vulnerabilidade Política Origin é necessário aplicar um patch já está disponível e emitido pela Google em setembro. Infelizmente, milhões de dispositivos Android ainda são vulneráveis ​​porque os fabricantes já não empurrar a atualização para seus clientes. A fim de proteger-se, desativar o navegador a partir de seus dispositivos Android, vá para Configurações> Aplicativos> Todos e procurando seu ícone.

Pierluigi Paganini

( Assuntos de Segurança  - política de mesma origem Vulnerabilidade, Android)