SKY-net

Группа исследователей из IBM обнаружила уязвимость в браузере для Android, позволяющую выполнить JavaScript код. Согласно  отчету специалистов, уязвимость существует в операционной системе версий 2.3.4 и 3.1, а также возможно в более ранних версиях. Вредоносный JavaScript код способен похитить из браузера конфиденциальную информацию, такую как файлы куки, кэш и историю посещения страниц, косвенным образом обходя архитектуру песочницы Android. Уязвимость существует из-за ошибки при обработке вызовов на просмотр страниц, исходящих от сторонних приложений. 

Исследователи продемонстрировали два варианта внедрения кода. В одном они использовали максимально возможное количество открытых вкладок, а в другом они отправили в браузер два последовательных запроса в маленький промежуток времени. Также исследователи предполагают, что приложение, атакующее таким образом браузер, может установить себя в качестве сервиса, и таким образом повысить эффективность атаки. Однако в этом случае необходимо чтобы пользователь, собственноручно скачал и установил вредоносное приложение. 

Уязвимость была найдена в методе onNewIntent(), и была устранена в Android 2.3.5 и 3.2. В скором времени будут доступны исправления для Android версий 2.2.x и выше. 

www.securitylab.ru

Опубликовано 04.08.2011 17:23 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Motorola расчитывает сосредоточить усилия на платформе Android?
• Adobe Flash Player 10.2 для Android выйдет 18 марта
• Опубликован исходный код Android 2.0 “Eclair”
• Приложения Android и Market будут работать в Moblin Linux
• Web-браузер Chrome войдет в состав Linux-платформы Google Android