Przeglądarka AOSP dla Androida posiada niebezpieczną lukę

Obecnie każdy twórca systemów operacyjnych oferuje również swoją przeglądarkę internetową, które występuje jako domyślny produkt, bądź też stanowi jego opcjonalną część. Tak jest w przypadku Windows Phone, iOS, ale i również Androida. Zielony robot w wersji 4.2 został wyposażony w domyślną przeglądarkę o nazwie AOSP, w której Rafay Baloch odkrył błąd bezpieczeństwa - każda przeglądarka internetowa posiada mechanizm o nazwie SOP (Same-origin-policy), który jest nierozłącznym elementem języka JavaScript. Jego zadanie polega na zabezpieczeniu uruchomionych wywołań JavaScript w ten sposób, aby nie mogły wzajemnie modyfikować swoich drzew DOM. Mówiąc jeszcze prościej - jeżeli posiadamy uruchomione dwie strony internetowe i obydwie korzystają z elementów JavaScript, to strona A nie może modyfikować strony B oraz odwrotnie. Luka znaleziona w przeglądarce AOSP umożliwia obejście tego zabezpieczenia.

Mobilne przeglądarki nie są wolne od luk w zabezpieczeniach.

Załóżmy, że mamy otwarte trzy strony internetowe (poczta, strona banku oraz serwis społecznościowy) to atakujący przy pomocy tej luki może uzyskać dostęp do wszystkich otwartych stron w przeglądarce internetowej. Błąd występuje w systemie Android w wersji 4.2.1 oraz wcześniejszych i nie jest istotne, czy korzystamy z czystego Androida, czy też z jego zmodyfikowanej wersji. Najnowsza wersja oznaczona numerem 4.4 nie jest na szczęście podatna na ten atak, ponieważ domyślne wykorzystuje wersję Chrome. Jak się zabezpieczyć? Rozwiązanie jest bardzo proste - należy przestać korzystać z przeglądarki AOSP i zainstalować alternatywę w postaci np. Google Chrome, Firefoksa czy też Opery.

Przy okazji ujawnienia luki na światło dzienne wyszła inna ciekawa sytuacja. Opisywana dziura była zgłaszana do Google dawno temu, jednak internetowy gigant twierdził, iż w swoich warunkach laboratoryjnych nie może jej odtworzyć (samo zgłoszenie luki nie oznacza od razu jej załatania - producent oprogramowania musi jeszcze ją odtworzyć i dopiero po wnikliwych badaniach przygotowywana jest poprawka) i sprawę zbagatelizował. Kiedy jednak luka ujrzała światło dzienne Google zmieniło zdanie i już są gotowe aktualizacje, które naprawiają tą lukę. Oczywiście nie wiadomo czy użytkownicy końcowi otrzymają wspomniane aktualizacje, bo każdy wie jak ten proces wygląda w przypadku systemu Android.

Na szczęście rozwiązanie problemu jest bardzo proste.

Źródło: Rafay Hacking Articles / Security Street