الإعلانات

هل تريد الترقية إلى Android 4.4 KitKat؟ إليك شيء قد يمنحك القليل من التشجيع لإجراء التبديل: مشكلة خطيرة في المخزون تم اكتشاف متصفح على هواتف ما قبل KitKat ، ويمكن أن يسمح لمواقع الويب الضارة بالوصول إلى بيانات أخرى مواقع الويب. يبدو مخيفا؟ إليك ما تحتاج إلى معرفته

القضية - التي كانت اكتشف لأول مرة من قبل الباحث رافاي بالوش - يرى أن المواقع الخبيثة قادرة على حقن جافا سكريبت عشوائية في إطارات أخرى ، والتي يمكن أن ترى ملفات تعريف الارتباط المسروقة ، أو بنية وترميز مواقع الويب التي يتم التدخل فيها بشكل مباشر.

يشعر باحثو الأمن بالقلق الشديد من هذا ، مع Rapid7 - صانعو إطار اختبار الأمان الشعبي ، Metasploit - واصفا إياه بـ "كابوس الخصوصية". فضولي حول كيفية عملها ، ولماذا يجب أن تقلق ، وما الذي يمكنك فعله حيال ذلك؟ اقرأ المزيد.

مبدأ الأمان الأساسي: تجاوز

المبدأ الأساسي الذي يجب أن يمنع حدوث هذا الهجوم في المقام الأول يسمى سياسة الأصل نفسه. باختصار ، هذا يعني أن جافا سكريبت من جانب العميل الذي يتم تشغيله في أحد مواقع الويب يجب ألا يتمكن من التدخل في موقع ويب آخر.

كانت هذه السياسة أساسًا لأمان تطبيقات الويب ، منذ أن تم تقديمها لأول مرة في عام 1995 مع Netscape Navigator 2. نفذ كل متصفح ويب واحد هذه السياسة ، كميزة أمان أساسية ، ونتيجة لذلك ، من النادر جدًا رؤية مثل هذه الثغرة في البرية.

instagram viewer

لمزيد من المعلومات حول كيفية عمل SOP ، قد ترغب في مشاهدة الفيديو أعلاه. تم التقاط هذا في حدث OWASP (مشروع أمان تطبيق الويب المفتوح) في ألمانيا ، وهو أحد أفضل التفسيرات للبروتوكول الذي رأيته حتى الآن.

عندما يكون المتصفح عرضة لهجوم تجاوز SOP ، هناك مساحة كبيرة للضرر. يمكن للمهاجم أن يفعل أي شيء عمليا ، من استخدام واجهة برمجة تطبيقات الموقع المقدمة مع مواصفات HTML5 لمعرفة مكان الضحية ، وصولًا إلى سرقة ملفات تعريف الارتباط.

لحسن الحظ ، يأخذ معظم مطوري المتصفح هذا النوع من الهجمات على محمل الجد. مما يجعل من الجدير بالملاحظة رؤية مثل هذا الهجوم "في البرية".

كيف يعمل الهجوم

لذا ، نحن نعلم سياسة الأصل نفسه مهمة. ونحن نعلم أن الفشل الهائل في متصفح Android للأوراق المالية يمكن أن يؤدي إلى مهاجمين يتحايلون على هذا الإجراء الأمني ​​الحاسم؟ ولكن كيف يعمل؟

حسنًا ، يبدو دليل المفهوم الذي قدمه Rafay Baloch مثل هذا:
[لم يعد متاح]
لذا ، ماذا لدينا هنا؟ حسنًا ، هناك iFrame. هذا عنصر HTML يُستخدم للسماح لمواقع الويب بتضمين صفحة ويب أخرى داخل صفحة ويب أخرى. لم يتم استخدامها بقدر ما كانت ، إلى حد كبير لأنها تستخدم كابوس SEO 10 أخطاء شائعة في تحسين محركات البحث يمكنها تدمير موقعك [الجزء الأول] قراءة المزيد . ومع ذلك ، لا تزال تجدها غالبًا من وقت لآخر ، ولا تزال جزءًا من مواصفات HTML ، ولم يتم إيقاف العمل بها حتى الآن.

بعد ذلك أ تمثل علامة HTML زر إدخال. يحتوي هذا على بعض جافا سكريبت معدّة خصيصًا (لاحظ أن زائدة "\ u0000"؟) التي ، عند النقر عليها ، تُخرج اسم نطاق موقع الويب الحالي. ومع ذلك ، نظرًا لوجود خطأ في متصفح Android ، ينتهي به الأمر بالوصول إلى سمات iFrame ، وينتهي به الأمر بطباعة "rhaininfosec.com" كمربع تنبيه JavaScript.

هجوم android-html

على Google Chrome و Internet Explorer و Firefox ، سيخطئ هذا النوع من الهجمات ببساطة. ستقوم أيضًا (بناءً على المتصفح) بإنتاج سجل في وحدة تحكم JavaScript لإعلام أن المتصفح قام بحظر الهجوم. باستثناء ، لسبب ما ، لا يقوم متصفح الأسهم على أجهزة ما قبل Android 4.4 بذلك.

android-html-console

طباعة اسم النطاق ليست مذهلة بشكل رهيب. ومع ذلك ، فإن الوصول إلى ملفات تعريف الارتباط وتنفيذ JavaScript تعسفي في موقع ويب آخر أمر مثير للقلق. لحسن الحظ ، هناك شيء يمكن القيام به.

ماذا يمكن ان يفعل؟

لدى المستخدمين بعض الخيارات هنا. أولاً ، توقف عن استخدام متصفح Android للأوراق المالية. إنه قديم وغير آمن وهناك خيارات أكثر إقناعًا في السوق في الوقت الحالي. تمتلك Google تم إصدار Chrome لنظام Android إطلاق Google Chrome أخيرًا لنظام Android (ICS فقط) [الأخبار] قراءة المزيد (على الرغم من ذلك ، فقط للأجهزة التي تعمل بنظام Ice Cream Sandwich والإصدارات الأحدث) ، وهناك حتى إصدارات متنقلة من Firefox و Opera متاحة.

يستحق Firefox Mobile على وجه الخصوص الانتباه إليه. بالإضافة إلى تقديم تجربة تصفح مذهلة ، فإنه يسمح لك أيضًا بالتشغيل تطبيقات لنظام التشغيل المحمول الخاص بـ Mozilla ، Firefox OS أفضل 15 تطبيق لنظام تشغيل Firefox: القائمة النهائية لمستخدمي نظام تشغيل Firefox الجددبالطبع هناك تطبيق لذلك: إنها تقنية الويب بعد كل شيء. نظام تشغيل الهاتف المحمول من Mozilla Firefox OS ، والذي يستخدم HTML5 و CSS3 و JavaScript لتطبيقاته بدلاً من الكود الأصلي. قراءة المزيد ، وكذلك تثبيت أ ثروة من الإضافات الرائعة أفضل 10 إضافات فايرفوكس للأندرويديعد دعم الإضافات أحد أفضل جوانب Firefox على Android. اطّلع على إضافات Firefox الأساسية لنظام Android. قراءة المزيد .

إذا كنت تريد أن تكون مصابًا بجنون العظمة بشكل خاص ، فهناك حتى نقلة من NoScript لـ Firefox Mobile. على الرغم من ذلك ، تجدر الإشارة إلى أن معظم مواقع الويب تعتمد بشكل كبير على جافا سكريبت لعرض التفاصيل الدقيقة من جانب العميل ما هو جافا سكريبت وكيف يعمل؟ [شرح التكنولوجيا] قراءة المزيد ، ومن المؤكد أن استخدام NoScript سيكسر معظم مواقع الويب. هذا ، ربما ، يفسر لماذا وصفها جيمس بروس بأنها جزء من "trifecta الشر AdBlock ، NoScript & Ghostery - Trifecta of Evilعلى مدى الأشهر القليلة الماضية ، اتصل بي عدد كبير من القراء الذين واجهوا مشاكل في تنزيل أدلةنا ، أو لماذا لا يمكنهم رؤية أزرار تسجيل الدخول أو التعليقات التي لا يتم تحميلها ؛ و في... قراءة المزيد ‘.

أخيرًا ، إن أمكن ، نشجعك على تحديث متصفح Android إلى أحدث إصدار ، بالإضافة إلى تثبيت أحدث إصدار من نظام تشغيل Android. هذا يضمن أنه إذا قامت Google بإصدار إصلاح لهذا الخطأ بشكل أكبر ، فأنت محمي.

على الرغم من ذلك ، تجدر الإشارة إلى ذلك هناك انتقادات مفادها أن هذه المشكلة قد تضرب مستخدمي Android 4.4 KitKat. ومع ذلك ، لم يبرز أي شيء كبير بما فيه الكفاية بالنسبة لي لتقديم المشورة للقراء لتبديل المتصفحات.

خطأ رئيسي في الخصوصية

لا تخطئ ، هذا هو قضية أمن الهاتف الذكي الرئيسية ما تحتاج حقًا إلى معرفته حول أمان الهواتف الذكية قراءة المزيد . ومع ذلك ، من خلال التبديل إلى متصفح مختلف ، تصبح عرضة للخطر. ومع ذلك ، لا يزال هناك عدد من الأسئلة حول الأمان العام لنظام تشغيل Android.

هل ستتحول إلى شيء أكثر أمانًا ، مثل iOS فائق الأمان أمان الهاتف الذكي: هل يمكن لأجهزة iPhone الحصول على برامج ضارة؟يمكن للبرامج الضارة التي تؤثر على "آلاف" أجهزة iPhone أن تسرق بيانات اعتماد App Store ، ولكن غالبية مستخدمي iOS آمنون تمامًا - فما هي المشكلة مع برامج iOS والبرامج الخادعة؟ قراءة المزيد أو (المفضل لدي) بلاك بيري 10 10 أسباب لإعطاء بلاك بيري 10 جرب اليوميحتوي BlackBerry 10 على بعض الميزات التي لا تقاوم. إليك عشرة أسباب تجعلك ترغب في تجربتها. قراءة المزيد ? أو ربما ستظل مخلصًا لنظام Android ، وتثبيت ROM آمنًا مثل Paranoid Android أو Omirom 5 أسباب لماذا يجب عليك فلاش OmniROM إلى جهاز Android الخاص بكمع وجود مجموعة من خيارات ROM المخصصة ، قد يكون من الصعب تحديد خيار واحد فقط - ولكن يجب أن تفكر حقًا في OmniROM. قراءة المزيد ? أو ربما لا تقلق حتى.

فلنتحدث عن ذلك. مربع التعليقات أدناه. لا استطيع الانتظار لسماع أفكارك.

ماثيو هيوز مطور برامج وكاتب من ليفربول بإنجلترا. نادرًا ما يتم العثور عليه بدون كوب من القهوة السوداء القوية في يده ويعشق جهاز Macbook Pro والكاميرا الخاصة به. يمكنك قراءة مدونته على http://www.matthewhughes.co.uk ومتابعته على تويتر علىmatthewhughes.