Баг в штатном браузере Android позволяет подделывать URL
Новости Мобильная жизнь
В штатном браузере Android был обнаружен легко эксплуатируемый баг, позволяющий атакующему подделать URL в адресной строке, из-за чего юзер может быть перенаправлен на вредоносный сайт, сообщает «Лаборатория Касперского».
Известный ИБ-исследователь Рефей Балоч (Rafay Baloch) обнаружил уязвимость и смог разработать для нее PoC-эксплойт. Проблема заключается в некорректной обработке ошибки 204.
«Проблема возникает из-за того, что браузер неспособен передать ответ сервера «Нет содержимого» (ошибка 204) при наличии в сценарии метода window.open, что и позволяет подделать адрес ссылки в адресной строке», — объяснил Балоч в своем блоге.
Брешь присутствует в штатном браузере Android в Kitkat и Lollipop — двух самых свежих версиях Android. Однако, по заверениям Балоча, Chrome для Android этого изъяна не имеет. Также исследователь предупреждает, что жертва, скорее всего, даже не заметит подмены и не распознает атаку.
«Так как адресная строка — это единственный, согласно ИБ-команде Google, надежный индикатор безопасности в современных браузерах, жертва атаки вряд ли сможет заметить, что ее перенаправили на поддельный сайт. Так как уязвимость имеется во всех версиях Android, OEM-производителям и операторам придется поторопиться с патчами и поскорее предоставить соответствующие обновления», — подчеркнул Балоч.
Google позаботилась о патчах для версий Kitkat и Lollipop, но, так как доставка OTA-обновлений Android теперь осуществляется операторами, невозможно предсказать, когда апдейт дойдет до всех пользователей Android. Пока ИБ-эксперты настоятельно рекомендуют воздержаться от использования штатного браузера.
|
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Все рубрики статей (1513 / 145):
|
|
