На 45 % Android-устройств стоит браузер с серьёзной уязвимостью
На 45 % Android-устройств в мире установлен браузер, содержащий две очень серьёзные уязвимости. Об этом рассказали в фирмы Lookout, которая практикуется на безопасности мобильных устройств.
Две упомянутые уязвимости были обнаружены в сентябре спецом Рэйфеем Бэйлоком (Rafay Baloch), и некоторые исследователи назвали их просто трагическими. Они позволяют обойти главный барьер безопасности системы, так называемый SOP (same-origin policy, принцип схожего источника). SOP не позволяет скриптам из 1-го домена вести взаимодействие с данными другого домена. К примеру, скрипты, работающие на странице домена А, не должны вести взаимодействие с контентом, который загружается на эту же страницу с домена B. Без такового запрета злоумышленники могли бы сделать фишинговую страницу с невидимым фреймом, в котором будет загружен, скажем, Gmail, и таким образом вынудить пользователей ввести в нём свои логин и пароль.
Бэйлок нашел, что на устройствах под управлением Android до версии 4.4 существует уязвимость обхода SOP, а поточнее, даже две. Проблема вызвана тем, что на этих устройствах штатным браузером является так называемый AOSP. По данным Google, это 75 % всех Android-устройств, которые интенсивно используют Play Store. На более новых устройствах по умолчанию стоит Chrome, в котором эта «дыра» устранена.
Google уже выпустила заплаты для 2-ух уязвимостей, позволяющих обойти SOP, но многие производители пока не установили их на свои устройства. По данным Lookout, приблизительно на 45 % Android-устройств стоит браузер AOSP без этих заплаток. В некоторых странах эта цифра существенно выше, к примеру, в Японии (81 %), тогда как в других ниже (34 % в США).
Теги: android, безопасность, уязвимость