$
אינטרנט

באג חדש מאיים על כמחצית משוק האנדרואיד העולמי

הדפדפן המובנה בגרסאות ישנות של מערכת ההפעלה הפופולרית - שמהוות כ-50% מהמכשירים - סובל מפרצת אבטחה חמורה. דרכה, יכולים האקרים לגנוב סיסמאות, היסטוריית גלישה ואף לתעד כל מילה שהוא מקליד

נמרוד צוק 17:5317.09.14
פרצת אבטחה חמורה שהתגלתה בדפדפן המובנה של אנדרואיד מציבה בסיכון חמור רבים ממשתמשי הסמארטפונים שמריצים את מערכת ההפעלה, כך טוען אתר Arstechinca.
הפרצה מאפשרת לאתרים מזיקים להזריק קוד ג'אווה סקריפט זדוני לאתרים אחרים הפתוחים בדפדפן באותה העת, ולהשתמש בו לפעולות כמו קריאת המידע המאוחסן בקובצי קוקיז, גניבת סיסמאות, הזנת מידע לטפסים ללא ידיעת המשתמש, ניטור השימוש שלו במקלדת ועוד.

 

פרצה קוראת להאקר פרצה קוראת להאקר

 

דפדפן אנדרואיד הוא דפדפן קוד פתוח שהיה בעבר חלק ממערכת ההפעלה בגרסת (AOSP (Android Open Source Platform, גרסה הנמצאת בשימוש אצל חלק מהיצרניות שמעדיפות שלא לפעול תחת התנאים שגוגל דורשת. מגרסה 4.2 ואילך של אנדרואיד הוחלף הדפדפן הישן בכרום, כאשר אפליקציות מסוימות המשיכו להשתמש ברכיבים שלו עד לגרסה 4.4 - כך שרוב המכשירים החדשים והחזקים יותר לא פגיעים לבאג, אבל הוא עדיין נמצא בשימוש במכשירים ישנים וזולים יותר שמריצים גרסאות קודמות.

 

לא מדובר בשיעור זניח: על פי בדיקת Arstechnica, דפדפן אנדרואיד עדיין נפוץ יותר מגרסת המובייל של כרום, כאשר בין 40% ל-50% ממשתמשי אנדרואיד עדיין מריצים אותו.

 

גוגל: מהתעלמות לטיפול

 

מרבית הדפדפנים המודרניים מונעים אפשרות להתקפות כאלה על ידי הגבלת הגישה של סקריפטים אל אלמנטים שמגיעים מאותו מקור בלבד - כלומר, סקריפט שנטען מאתר מסוים יוכל לבצע פעולות רק על רכיבים באותו אתר. בדפדפן אנדרואיד המגבלה הזו קיימת אך מיושמת באופן לקוי, כך שהאקר מיומן יוכל לכתוב סקריפט שעוקף אותה. הפרצה התגלתה על ידי מומחה האבטחה העצמאי רפאי באלוך.

 

באלוך העביר את פרטי הפרצה לגוגל, אך לטענתו בחברה בחרו בתחילה להתעלם, טענו כי לא הצליחו לשחזר אותה וסגרו את הפניה שלו. לאחר שפרסם פוסט בנושא והבאג זכה לביקורת חריפה גם מחברת האבטחה Metaspolit, שינו בגוגל את עמדתם והודיעו כי החברה עובדת על תיקון לפרצה, שמועד שחרורו טרם פורסם.
בטל שלח
    לכל התגובות
    x