Webový prohlížeč v Androidu obsahuje závažnou chybu

Open-sourcový webový prohlížeč integrovaný do operačního systému Android obsahuje zranitelnost, která umožňuje nebezpečným webovým stránkám umisťovat javascriptový kód do jiných stránek.

Webový prohlížeč v Androidu obsahuje závažnou chybu


Tento nebezpečný kód následně může číst cookie či hesla, posílat formuláře, zachycovat stisknutí kláves uživatelem a provádět spoustu dalších úkonů.

Webové prohlížeče jsou obecně nevrženy tak, aby zamezovaly skriptu z jedné stránky přistupovat k obsahu na druhé stránce. K zaručení této ochrany je použit princip SOP (Same Origin Policy): skripty mohou pouze číst či upravovat prvky webových stránek, jež přicházejí ze stejného zdroje jako samotný skript. Zdroj je pak identifikován pomocí protokolu, domény a čísla portu. SOP by měl zabraňovat tomu, aby například skript z http://červ.cz/ mohl přistupovat například k obsahu na http://computerworld.cz/.

Chyba v androidovém prohlížeči však umožňuje prolomení SOP. Jak zjistil Rafay Baloch, pokud je javascriptový kód vytvořen určitým způsobem, může zcela ignorovat SOP a bez jakýchkoli dalších omezení zasahovat do obsahu jiných webových stránek. To prakticky znamená, že jakákoli webová stránka navštívená v prohlížeči může krást citlivá data. Z uvedeného je zřejmé, že jde o kritickou zranitelnost, kterou je třeba opravit, a to rychle.

Google ve snaze získat nad Androidem větší kontrolu, svůj prohlížeč AOSP z Androidu částečně odstranil u verze 4.2 a u verze 4.4 jej zcela nahradil prohlížečem Chrome. Stejně tak, jako se nevypařily po oficiálním ukončení podpory z internetu Windows XP, však nezmizela ani aplikace open-sourcového androidového prohlížeče. Androidový prohlížeč v současné době v reálu používá více lidí než Chrome, jelikož jen málo uživatelů má nejnovější verzi Androidu a ještě méně si nainstaluje Chrome a používá ho.

Androidový prohlížeč je také zakomponován do produktů třetích stran a někteří uživatelé si jej dokonce nainstalovali na Android 4.4, jelikož jej preferují oproti Chromu. Baloch problém nahlásil Googlu, avšak společnost mu odpověděla, že se jejím technikům nepovedlo problém reprodukovat, a celou věc uzavřel. Baloch tedy celý případ popsal na blogu a vyvinul framework, který díru umožňuje testovat. Google následně oznámil, že se mu již problém podařilo zjistit a pracuje na záplatě.

Jak však záplata bude distribuována, není jasné. Chrome je aktualizován přes Play Store a starý androidový prohlížeč byl opravován jen v rámci aktualizací celého operačního systému. Ty však nejsou zdaleka tak časté. Bezpečnostní experti proto v mezidobí doporučují, aby uživatelé starších verzích Androidu přešli na Chrome, Firefox nebo Operu.

 

Úvodní foto: © Hugo Barra










Komentáře