3 votos

¿Qué es el vector de ataque de < = 4.3 vulnerabilidad de vista web?

Esto es en referencia a la vulnerabilidad que Google no es la aplicación de parches, ya que el WebView en 4.3 y menos es parte del sistema operativo y no en un actualizable componente.

Ya que algunas personas no tienen fácil las opciones de actualización de su fabricante del teléfono o portador de células, se podría considerar la posibilidad de estar con 4.3, o algunos todavía están esperando a su proveedor de servicios proporciona una actualización en algún momento. En este caso, es útil para entender lo que uno puede hacer para mitigar el riesgo de la vulnerabilidad.

Esta es una vulnerabilidad que cualquier sitio web puede explotar con sólo visitar el sitio web con el navegador de web estándar? I. e. si voy a someverymalicioussite.example.com y contiene el código javascript específico de que los objetivos de la vulnerabilidad permite la ejecución remota de código.

Si es así, es que la mitigación del riesgo mediante el uso de un navegador como Firefox o Chrome (que supongo que no utiliza el componente WebView).

¿O la vulnerabilidad requieren la instalación de una aplicación de un desarrollador ha maliciosamente por escrito a explotar la Web de Vista de componente, para permitir la aplicación para realizar acciones que no fue permitido?

2voto

Freedom Puntos145

Mientras esto se está poniendo la atención por los medios de comunicación sólo que ahora ya hay un exploit de Metasploit que explorar esta vulnerabilidad.

El "un solo clic" Metasploit explotar los objetivos de una vulnerabilidad en un componente WebView que se utiliza en forma nativa en el navegador de Android, aunque el componente también puede ser utilizado por otras aplicaciones.

De acuerdo a un ataque-vídeo de demostración publicado por Rapid7, el fallo puede ser explotado por engañar a un usuario para que el escaneo de un malicioso código QR que incluye el código de ataque, que activa la vulnerabilidad en el navegador de Android y le da al atacante de comandos de shell de acceso al dispositivo.

Pero la vulnerabilidad puede ser explotada en otras maneras, también. "Un ataque secundario vector implica la WebViews incrustado dentro de un gran número de aplicaciones de Android", dice un resumen publicado por Rapid7. "Ad integraciones son, quizás, el peor criminal aquí." En particular, si un atacante podría obtener hombre-en-el-medio de acceso a una aplicación vulnerable HTML de conexión, o el cross-site scripting de código utilizado por la aplicación, a continuación, el atacante puede inyectar el código JavaScript malicioso y ganancia de comandos de shell de acceso al dispositivo.

¿Cómo defenderse? Como casi cualquier cosa que se endurezcan android tendrá la root, a continuación, hacer :

  1. Eliminar completamente el stock navegador el uso de tu aplicación favorita o eliminar el stock browser app y odex corresponsal de archivo (para usuarios avanzados)

  2. Bloquear todos los anuncios en su totalidad sin dar la oportunidad a un hombre-en-el-medio interceptar y modificar los anuncios mostrados a través de aplicaciones con código malicioso. Adaway es un buen programa gratuito de código abierto aplicación que puede ayudar y es disponible a través de F-Droid.

  3. El uso de firefox, chrome o safari debe ser seguro, pero si quieres aún más la seguridad y realmente no se preocupan por romper algunas páginas asegúrese de que Javascript está deshabilitado (no root necesario para este paso) esto te protegerá contra una gran cantidad de ataques.

PreguntAndroid.com

PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

;