Este error en el navegador de Android te hará actualizar a KitKat
¿Aún no has actualizado a Android 4.4 KitKat? Aquí hay algo que podría darle un poco de ánimo para hacer el cambio: se ha descubierto un problema grave con el navegador de valores en los teléfonos pre-KitKat, y podría permitir que los sitios web maliciosos accedan a los datos de otros sitios web. Suena aterrador? Esto es lo que necesitas saber
El problema, que fue descubierto por primera vez por el investigador Rafay Baloch, hace que los sitios web maliciosos puedan inyectar JavaScript de forma arbitraria en otros marcos, lo que podría provocar el robo de cookies, o la estructura y el marcado de los sitios web que se interfieren directamente..
Los investigadores de seguridad están desesperadamente preocupados por esto, y Rapid7, los creadores del popular marco de pruebas de seguridad, Metasploit, lo describe como una "pesadilla de privacidad". ¿Siente curiosidad acerca de cómo funciona, por qué debería preocuparse y qué puede hacer al respecto? Sigue leyendo para más.
Un Principio Básico de Seguridad: Eludido
El principio básico que debe evitar que este ataque se produzca en primer lugar se llama Política del mismo origen. En resumen, significa que el JavaScript del lado del cliente que se ejecuta en un sitio web no debe poder interferir con otro sitio web..
Esta política ha sido la base de la seguridad de las aplicaciones web, desde que se introdujo por primera vez en 1995 con Netscape Navigator 2. Cada navegador web ha implementado esta política, como una característica de seguridad fundamental, y como resultado es increíblemente raro ver tal una vulnerabilidad en la naturaleza.
Para obtener más información sobre cómo funciona el SOP, es posible que desee ver el video de arriba. Esto fue tomado en un evento OWASP (Open Web App Security Project) en Alemania, y es una de las mejores explicaciones del protocolo que he visto hasta ahora..
Cuando un navegador es vulnerable a un ataque de bypass SOP, hay mucho espacio para el daño. Un atacante podría hacer cualquier cosa, desde el uso de la API de ubicación introducida con la especificación HTML5 para averiguar dónde se encuentra la víctima, hasta el robo de cookies.
Afortunadamente, la mayoría de los desarrolladores de navegadores toman en serio este tipo de ataque. Lo que hace que sea más notable ver un ataque así 'en la naturaleza'.
Cómo funciona el ataque
Por lo tanto, sabemos que la política del mismo origen es importante. ¿Y sabemos que una falla masiva del navegador de Android puede potencialmente llevar a los atacantes a burlar esta medida de seguridad crucial? Pero como funciona?
Bueno, la prueba de concepto dada por Rafay Baloch se parece un poco a esto:
¿Entonces que tenemos aqui? Bueno, hay un iFrame. Este es un elemento HTML que se utiliza para permitir que los sitios web incrusten otra página web en otra página web. Ya no se usan tanto como solían hacerlo, en gran parte porque son una pesadilla de SEO 10 errores comunes de SEO que pueden destruir tu sitio web [Parte I] 10 errores comunes de SEO que pueden destruir tu sitio web [Parte I] Leer más. Sin embargo, a menudo los encuentras de vez en cuando, y siguen siendo parte de la especificación HTML, y aún no han quedado en desuso..
A continuación hay una etiqueta HTML que representa un botón de entrada. Esto contiene algunos JavaScript especialmente diseñados (¿nota que al final de '\ u0000'?) Que, al hacer clic, genera el nombre de dominio del sitio web actual. Sin embargo, debido a un error en el navegador de Android, termina accediendo a los atributos del iFrame y termina imprimiendo 'rhaininfosec.com' como un cuadro de alerta de JavaScript..
En Google Chrome, Internet Explorer y Firefox, este tipo de ataque simplemente producirá un error. También (según el navegador) también produjo un registro en la consola de JavaScript que informa que el navegador bloqueó el ataque. Excepto, por alguna razón, el navegador de valores en dispositivos pre-Android 4.4 no hace eso.
Imprimir un nombre de dominio no es terriblemente espectacular. Sin embargo, obtener acceso a las cookies y ejecutar JavaScript arbitrario en otro sitio web es bastante preocupante. Afortunadamente, hay algo que se puede hacer.
Qué se puede hacer?
Los usuarios tienen algunas opciones aquí. En primer lugar, deje de usar el navegador de Android de valores. Es viejo, es inseguro y hay opciones mucho más atractivas en el mercado en este momento. Google ha lanzado Chrome para Android Google Chrome finalmente se lanza para Android (solo ICS) [Noticias] Google Chrome finalmente se lanza para Android (solo ICS) [Noticias] Leer más (aunque, solo para dispositivos con Ice Cream Sandwich o superior), y hay Incluso variantes móviles de Firefox y Opera disponibles..
Merece la pena prestar atención a Firefox Mobile en particular. Además de ofrecer una increíble experiencia de navegación, también le permite ejecutar aplicaciones para el sistema operativo móvil de Mozilla, las 15 principales aplicaciones de Firefox OS: la lista definitiva para los nuevos usuarios de Firefox OS Las 15 mejores aplicaciones de Firefox OS: la lista definitiva para los nuevos Usuarios de Firefox OS Por supuesto, hay una aplicación para eso: después de todo, es tecnología web. El sistema operativo móvil Mozilla Firefox OS que, en lugar de código nativo, utiliza HTML5, CSS3 y JavaScript para sus aplicaciones. Lea más, e instale una gran cantidad de increíbles complementos Complementos imperdibles para Firefox en su dispositivo Android Complementos imperdibles para Firefox en su dispositivo Android Firefox para Android tiene un truco a su alcance: Complementos. Al igual que Firefox ofrece un sistema de extensión más potente que Chrome en el escritorio, supera a Chrome para Android al admitir extensiones. Puede instalar ... Leer más .
Si quieres ser especialmente paranoico, incluso hay una transferencia de NoScript para Firefox Mobile. Sin embargo, debe tenerse en cuenta que la mayoría de los sitios web dependen en gran medida de JavaScript para mostrar las sutilezas del lado del cliente. ¿Qué es JavaScript y cómo funciona? [Tecnología explicada] ¿Qué es JavaScript y cómo funciona? [Explicación de la tecnología] Lea más, y el uso de NoScript es casi seguro que romperá la mayoría de los sitios web. Esto, quizás, explica por qué James Bruce lo describió como parte de la 'trifecta of evil AdBlock, NoScript & Ghostery - La Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil En los últimos meses, he sido contactado por un buen número de lectores que han tenido problemas para descargar nuestras guías, o por qué no pueden ver los botones de inicio de sesión o los comentarios que no se cargan; y en ... Leer más '.
Finalmente, si es posible, le recomendamos que actualice su navegador de Android a la última versión, además de instalar la última versión del sistema operativo Android. Esto garantiza que si Google lanza una solución para este error más adelante en la línea, estará protegido.
Sin embargo, vale la pena señalar que existen rumores de que este problema podría afectar a los usuarios de Android 4.4 KitKat. Sin embargo, no ha surgido nada que sea lo suficientemente importante como para que pueda recomendar a los lectores que cambien de navegador..
Un error de privacidad importante
No se equivoque, este es un importante problema de seguridad de los teléfonos inteligentes. Lo que realmente necesita saber sobre la seguridad de los teléfonos inteligentes. Lo que realmente necesita saber sobre la seguridad de los teléfonos inteligentes. Lea más. Sin embargo, al cambiar a un navegador diferente, se vuelve virtualmente invulnerable. Sin embargo, quedan algunas preguntas sobre la seguridad general del sistema operativo Android.
¿Cambiará a algo un poco más seguro, como la seguridad súper segura de un teléfono inteligente iOS: pueden los iPhones obtener malware? Seguridad de teléfonos inteligentes: ¿los iPhones pueden obtener malware? El malware que afecta a "miles" de iPhones puede robar las credenciales de la tienda de aplicaciones, pero la mayoría de los usuarios de iOS son perfectamente seguros. ¿Cuál es el problema con iOS y el software no autorizado? Más información o (mi favorito) Blackberry 10 10 razones para dar BlackBerry 10 A Try Today 10 razones para dar BlackBerry 10 A Try Today BlackBerry 10 tiene algunas características bastante irresistibles. Aquí hay diez razones por las que podrías querer darle una oportunidad. Lee mas ? O quizás te mantendrás fiel a Android e instalarás una ROM segura como Paranoid Android u Omirom 5 razones por las que deberías hacer un flash OmniROM en tu dispositivo con Android 5 razones por las que deberías hacer un flash OmniROM en tu dispositivo con Android Con un montón de opciones personalizadas de ROM allí, puede ser difícil conformarse con uno solo, pero realmente debería considerar OmniROM. Lee mas ? O tal vez ni siquiera estás tan preocupado..
Vamos a hablar de ello. El cuadro de comentarios está abajo. No puedo esperar a escuchar tus pensamientos.
Explorar más sobre: Seguridad de teléfonos inteligentes.