افشاي چندين آسيب پذيري امنيتي در مرورگر تلفن همراه

شماره: IRCNE2015082614
تاريخ:06/08 /94

يك محقق امنيتي مشكلات امنيتي را در مرورگرهاي Dolphin و Mercury شناسايي كرده است. بنجامين واتسون آسيب پذيري هايي را در مرورگرهاي تلفن همراه مبتني بر اندرويد افشاء كرد. هفته گذشته اين محقق امنيتي گفت كه آسيب پذيري ها مي توانند براي اجراي كد از راه دور و يا دسترسي خواندن يا نوشتن مورد سوء استفاده قرار بگيرند.
مرورگر Dolphin كه توسط كاربران اندرويد مورد استفاده قرار مي گيرد براي دستگاه هاي سيار و گوشي هاي هوشمند طراحي شده است و يكي از محبوب ترين مرورگرهاي سيستم عامل اندرويد است كه بين 50 تا 100 ميليون كاربر در حال استفاده از آن مي باشند.
با توجه به يافته هاي واتسون، هنگامي كه تم هاي جديد دانلود مي شود، فايل ها از طريق HTTP به عنوان يك فايل .zip منتقل مي شود. به دليل استفاده از اسكريپت ساده، تم هاي دانلود شده مي تواند ردگيري شده و تم هاي مخرب و تغيير يافته تزريق شود. در نتيجه مي تواند منجر به يك دسترسي نوشتن دلخواه در دايركتوري داده Dolphin گردد.
خروجي .zip مي تواند براي سوء استفاده از فرآيند از zip خارج شدن تم مرورگردستكاري شود. اين محقق دريافت كه يك كتابخانه خرابكار مي تواند براي نوشتن مجدد كتابخانه اصلي مرورگر بارگذاري شود. پس از اعمال تم مخرب، اجراي كد دلخواه امكان پذير مي شود.
هم چنين اين محقق دريافت كه مرورگر Mercury نسبت به خواندن و نوشتن دلخواه فايل ها در دايركتوري داده مرورگر آسيب پذير است.
واتسون توصيه مي كند كه در هر دو مورد كاربران بايد از دانلود و اعمال تم هاي جديد اجتناب كنند و هم چنين بايد حدالامكان تا زمان انتشار اصلاحيه و برطرف شدن آسيب پذيري از مرورگرهاي ديگري استفاده شود.
منابع:

http://www.zdnet.com/article/bittorrent-patches-reflective-ddos-attack-security-vulnerability/