В браузере Android обнаружена уязвимость

18 Сентябрь 2014

В браузере Android 4.4 и более ранних версиях популярной платформы обнаружена новая уязвимость, которая может использоваться злоумышленниками для просмотра содержимого вкладок браузера при переходе «жертвы» на контролируемую ими страницу. Как удалось выяснить, перед этой уязвимости незащищено большинство работающих сегодня Android-устройств. В популярный набор для пентестинга Metasploit уже добавлен соответствующий модуль.

Первое упоминание уязвимости уходит в август, но тогда информация о ней не вызвала интерес со стороны общественности. Между тем, брешь очень просто использовать в обход политики единого домена встроенного в Android браузера.

Как говорится в пояснении независимого исследователя Тода Бирдсли, опубликовавшего свои размышления на этот счет на сайте Rapid7, внеся определенные модификации в обработчик ссылок на JavaScript с помощью дополнительного нулевого байта, можно заставить открытый браузер Android перестать применять политику единого домена. Для пользователей это означает потенциальный риск получения доступа к открытым в их браузерах вкладкам третьими лицами через любые произвольные сайты (например, контролируемые спамерами веб-страницы или инфицированные шпионскими модулями). Оказавшись на контролируемой злоумышленниками странице, пользователь сам того не подозревая предоставляет доступ третьим лицам к своей электронной почте в соседней вкладке, а вместе с тем и дает им практически неограниченные возможности для кражи персональных данных. Возможен и более плачевный сценарий развития событий: в ходе целевой атаки хакеры могут перехватить cookie-файл текущей сессии и проследить весь сеанс пользователя, ознакомиться с его электронной корреспонденцией и разослать сообщения от его имени.

Уязвимость обнаружена в браузере Android Open Source Platform – старом штатном обозревателе. Google больше не поддерживает его в качестве браузера по умолчанию. Вместо него теперь используется браузер AOSP на Chrome, но при этом браузер с обнаруженной уязвимостью сегодня используется на многих старых устройств. К тому же, нет преград для установки браузера с уязвимостью на более новые смартфоны и планшеты. Бирдсли отмечает, что он не имеет точных сведений о возможных сроках выпуска разработчиками Google соответствующего патча. Он также допускает, что если Google это и сделает, то она, вероятно, уведомит об этом отдельно.

Независимые эксперты продолжают исследовать степень опасности уязвимости и намерены определить точные цифры, какое количество устройств подвержено опасности. Они советуют не списывать старые версии Android со счетов раньше времени: более старые версии, чем 4.4, сегодня установлены на 75% всех мобильных устройств. Бирдсли подчеркивает, что практически 100% бюджетных устройств и предоплаченных телефонов в сетях крупных операторов и производителей работают на Android 4.2 Jelly Bean и более ранних версиях мобильной ОС от Google. Во всех этих гаджетах по умолчанию установлен старый браузер Android AOSP. Они составляют значительную долю рынка мобильных гаджетов и при этом все еще подвержены таким уязвимостям, как вышеописанная.