Iklan

Apakah Anda belum meningkatkan ke Android 4.4 KitKat? Inilah sesuatu yang mungkin memberi Anda sedikit dorongan untuk melakukan peralihan: masalah serius dengan saham browser pada ponsel pre-KitKat telah ditemukan, dan itu dapat memungkinkan situs web jahat untuk mengakses data lainnya situs web. Kedengarannya menakutkan? Inilah yang perlu Anda ketahui

Masalahnya - yang pertama kali ditemukan oleh peneliti Rafay Baloch - melihat situs web jahat dapat menyuntikkan JavaScript sewenang-wenang ke dalam bingkai lain, yang dapat melihat cookie dicuri, atau struktur dan markup situs web yang secara langsung terganggu.

Peneliti keamanan sangat khawatir dengan hal ini, dengan Rapid7 - pembuat kerangka pengujian keamanan populer, Metasploit - menggambarkannya sebagai 'mimpi buruk privasi'. Ingin tahu tentang cara kerjanya, mengapa Anda harus khawatir, dan apa yang dapat Anda lakukan? Baca terus untuk lebih lanjut.

Prinsip Keamanan Dasar: Dilewati

Prinsip dasar yang harus mencegah serangan ini terjadi di tempat pertama disebut Kebijakan Asal Sama. Singkatnya, itu berarti JavaScript sisi klien yang berjalan di satu situs web tidak boleh mengganggu situs web lain.

instagram viewer

Kebijakan ini telah menjadi dasar keamanan aplikasi web, sejak pertama kali diperkenalkan pada 1995 dengan Netscape Navigator 2. Setiap browser web telah menerapkan kebijakan ini, sebagai fitur keamanan mendasar, dan sebagai hasilnya sangat jarang melihat kerentanan seperti itu di alam liar.

Untuk informasi lebih lanjut tentang cara kerja SOP, Anda mungkin ingin menonton video di atas. Ini diambil di acara OWASP (Open Web App Security Project) di Jerman, dan merupakan salah satu penjelasan terbaik dari protokol yang saya lihat sejauh ini.

Saat peramban rentan terhadap serangan pintas SOP, ada banyak ruang untuk kerusakan. Penyerang bisa melakukan apa saja, mulai dari menggunakan API lokasi yang diperkenalkan dengan spesifikasi HTML5 untuk mencari tahu di mana korban berada, sampai mencuri cookie.

Untungnya, sebagian besar pengembang browser menanggapi serangan semacam ini dengan serius. Yang membuatnya menjadi lebih penting untuk melihat serangan seperti 'di alam liar'.

Bagaimana Serangan Bekerja

Jadi kita tahu Asal Negara yang Sama adalah penting. Dan kita tahu bahwa kegagalan besar stok browser Android berpotensi menyebabkan penyerang menghindari langkah keamanan penting ini? Tetapi bagaimana cara kerjanya?

Nah, bukti konsep yang diberikan oleh Rafay Baloch terlihat sedikit seperti ini:
[TIDAK LAGI TERSEDIA]
Jadi, apa yang kita miliki di sini? Ya, ada iFrame. Ini adalah elemen HTML yang digunakan untuk memungkinkan situs web menyematkan halaman web lain dalam halaman web lain. Mereka tidak digunakan sebanyak dulu, sebagian besar karena mereka mimpi buruk SEO 10 Kesalahan SEO Umum yang Dapat Menghancurkan Situs Web Anda [Bagian I] Baca lebih banyak . Namun, Anda masih sering menemukannya dari waktu ke waktu, dan itu masih merupakan bagian dari spesifikasi HTML, dan belum ditinggalkan.

Mengikuti itu adalah a Tag HTML mewakili tombol input. Ini berisi beberapa JavaScript yang dibuat khusus (perhatikan bahwa mengekor 'u0000'?) Yang, ketika diklik, menampilkan nama domain dari situs web saat ini. Namun, karena kesalahan pada browser Android, akhirnya mengakses atribut iFrame, dan akhirnya mencetak 'rhaininfosec.com' sebagai kotak peringatan JavaScript.

android-html-attack

Di Google Chrome, Internet Explorer dan Firefox, jenis serangan ini hanya akan kesalahan keluar. Itu (tergantung pada browser) juga menghasilkan log di konsol JavaScript yang menginformasikan bahwa browser memblokir serangan. Kecuali, untuk beberapa alasan, browser stok pada perangkat pra-Android 4.4 tidak melakukan itu.

android-html-console

Mencetak nama domain tidak terlalu spektakuler. Namun, mendapatkan akses ke cookie dan menjalankan JavaScript sewenang-wenang di situs web lain agak mengkhawatirkan. Untungnya, ada sesuatu yang bisa dilakukan.

Apa yang bisa dilakukan?

Pengguna memiliki beberapa opsi di sini. Pertama, berhenti menggunakan browser Android stok. Sudah tua, tidak aman dan ada banyak opsi yang lebih menarik di pasar saat ini. Google telah merilis Chrome untuk Android Google Chrome Akhirnya Meluncurkan Untuk Android (Hanya ICS) [Berita] Baca lebih banyak (walaupun, hanya untuk perangkat yang menjalankan Ice Cream Sandwich dan yang lebih tinggi), dan bahkan ada varian seluler Firefox dan Opera yang tersedia.

Firefox Mobile khususnya patut diperhatikan. Selain menawarkan pengalaman menjelajah yang luar biasa, ini juga memungkinkan Anda untuk menjalankan aplikasi untuk sistem operasi seluler Mozilla, Firefox OS 15 Aplikasi Firefox OS Teratas: Daftar Utama Untuk Pengguna OS Firefox BaruTentu saja ada aplikasi untuk itu: Ini teknologi web. Sistem operasi seluler Mozilla Firefox OS yang, alih-alih kode asli, menggunakan HTML5, CSS3 dan JavaScript untuk aplikasinya. Baca lebih banyak , serta menginstal a banyak pengaya yang mengagumkan 10 Pengaya Firefox Terbaik untuk AndroidSalah satu aspek terbaik dari Firefox di Android adalah dukungan tambahannya. Lihat pengaya Firefox yang penting ini untuk Android. Baca lebih banyak .

Jika Anda ingin menjadi sangat paranoid, bahkan ada porting NoScript untuk Firefox Mobile. Meskipun, perlu dicatat bahwa sebagian besar situs web sangat tergantung JavaScript untuk rendering sisi klien Apa itu JavaScript dan Bagaimana Cara Kerjanya? [Teknologi Dijelaskan] Baca lebih banyak , dan menggunakan NoScript hampir pasti akan merusak sebagian besar situs web. Ini, mungkin, menjelaskan mengapa James Bruce menggambarkannya sebagai bagian dari ‘trifecta kejahatan AdBlock, NoScript & Ghostery - Trifecta Of EvilSelama beberapa bulan terakhir, saya telah dihubungi oleh banyak pembaca yang memiliki masalah dalam mengunduh panduan kami, atau mengapa mereka tidak dapat melihat tombol masuk atau komentar tidak dimuat; dan masuk... Baca lebih banyak ‘.

Akhirnya, jika mungkin, Anda akan didorong untuk memperbarui browser Android Anda ke versi terbaru, selain menginstal versi terbaru dari sistem operasi Android. Ini memastikan bahwa jika Google merilis perbaikan untuk bug ini lebih jauh ke bawah, Anda terlindungi.

Meskipun, perlu dicatat ada gemuruh bahwa masalah ini berpotensi melanda pengguna Android 4.4 KitKat. Namun, tidak ada yang muncul yang cukup besar bagi saya untuk menyarankan pembaca untuk beralih browser.

Bug Privasi Utama

Jangan salah, ini a masalah keamanan ponsel cerdas utama Yang Benar-Benar Perlu Anda Ketahui Tentang Keamanan Smartphone Baca lebih banyak . Namun, dengan beralih ke browser yang berbeda, Anda menjadi hampir kebal. Namun, sejumlah pertanyaan tetap tentang keamanan keseluruhan sistem operasi Android.

Apakah Anda akan beralih ke sesuatu yang sedikit lebih aman? iOS sangat aman Keamanan Smartphone: Bisakah iPhone Mendapatkan Malware?Malware yang memengaruhi "ribuan" iPhone dapat mencuri kredensial App Store, tetapi sebagian besar pengguna iOS sangat aman - jadi apa masalahnya dengan iOS dan perangkat lunak jahat? Baca lebih banyak atau (favorit saya) Blackberry 10 10 Alasan Untuk Memberikan BlackBerry 10 A Coba Hari IniBlackBerry 10 memiliki beberapa fitur yang sangat menarik. Berikut ini sepuluh alasan mengapa Anda mungkin ingin mencobanya. Baca lebih banyak ? Atau mungkin Anda akan tetap setia pada Android, dan menginstal ROM yang aman seperti Paranoid Android atau Omirom 5 Alasan Mengapa Anda Harus Mem-flash OmniROM ke Perangkat Android AndaDengan banyak opsi custom ROM di luar sana, mungkin sulit untuk menyelesaikannya hanya satu - tetapi Anda harus benar-benar mempertimbangkan OmniROM. Baca lebih banyak ? Atau mungkin Anda bahkan tidak khawatir.

Mari ngobrol tentang hal itu. Kotak komentar di bawah. Saya tidak sabar untuk mendengar pikiran Anda.

Matthew Hughes adalah pengembang dan penulis perangkat lunak dari Liverpool, Inggris. Dia jarang ditemukan tanpa secangkir kopi hitam pekat di tangannya dan sangat menyukai Macbook Pro dan kameranya. Anda dapat membaca blognya di http://www.matthewhughes.co.uk dan ikuti dia di twitter di @matthewhughes.