Исследователи обнаружили уязвимость в браузере Android

Группа исследователей из IBM обнаружила уязвимость в браузере для Android, позволяющую выполнить JavaScript код. Согласно  отчету специалистов, уязвимость существует в операционной системе версий 2.3.4 и 3.1, а также возможно в более ранних версиях. Вредоносный JavaScript код способен похитить из браузера конфиденциальную информацию, такую как файлы куки, кэш и историю посещения страниц, косвенным образом обходя архитектуру песочницы Android. Уязвимость существует из-за ошибки при обработке вызовов на просмотр страниц, исходящих от сторонних приложений. 

Исследователи продемонстрировали два варианта внедрения кода. В одном они использовали максимально возможное количество открытых вкладок, а в другом они отправили в браузер два последовательных запроса в маленький промежуток времени. Также исследователи предполагают, что приложение, атакующее таким образом браузер, может установить себя в качестве сервиса, и таким образом повысить эффективность атаки. Однако в этом случае необходимо чтобы пользователь, собственноручно скачал и установил вредоносное приложение. 

Уязвимость была найдена в методе onNewIntent(), и была устранена в Android 2.3.5 и 3.2. В скором времени будут доступны исправления для Android версий 2.2.x и выше. 

www.securitylab.ru

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.

Реклама на сайте: