В штатном браузере Android обнаружили баг, позволяющий подделывать URL

21 Май 2015

Штатный браузер Andoid не привлекает так много внимания, как Chrome, но тем не менее с ним тоже бывают проблемы и весьма серьезные. Так недавно известным специалистом в сфере информационной безопасности Рефейем Балочем была обнаружена серьезная уязвимость, которая позволяла перенаправлять пользователей на вредоносные сайты.

Благодаря использованию данной бреши можно было легко подделать URL и направить юзера на тот сайт, который выгоден атакующему. Ресурс может содержать как обычную рекламу, так и различное вирусное ПО, которое потом можно использовать для шпионажа.

Рефей Балоч выяснил, что проблема заключается в том, что браузер некорректно обрабатывает ошибку 204.

Специалист по ИБ обнаружил данную уязвимость практически во всех версиях мобильной ОС. Но вот Chrome для этой же мобильной платформы такой проблемы не имеет. При использовании атакующими данной уязвимости пользователь может не заметить подмены адреса и даже не распознает атаку.

Балоч советует специалистам поторопиться и предоставить пользователям соответствующее обновление с заплатками для этой дыры. Но даже если компания уже завтра выпустит патч, то не факт, что он сразу же поступит к пользователям. Дело в том, что за обновления на смартфонах теперь отвечают оператора, а как оперативно среагируют они, предсказать невозможно. Именно поэтому эксперты по информационной безопасности советуют пока не использовать штатный браузер.