شماره: IRCNE2014102337
تاريخ: 19/07/93
با توجه به داده هاي جمع آوري شده از شركت امنيتي تلفن همراه Lookout، حدود 45 درصد از دستگاه هاي اندرويد از مرورگري استفاده مي كنند كه حاوي دو آسيب پذيري امنيتي جدي است اما درصد تعداد كارابرني كه تحت تاثير اين آسيب پذيري ها قرار دارند در برخي كشورها بسيار بالاست.
اين دو مساله امنيتي چند ماه پيش توسط محقق امنيتي با نام Rafay Baloch كشف شده است كه توسط ساير محققان به عنوان يك مشكل نقض حريم خصوصي توصيف شده است. اين مشكلات به مهاجم اجازه مي دهد تا يك كرانه امنيتي اصلي را با عنوان SOP كه در تمامي مرورگرها وجود دارد، دور زند.
SOP مانع تعامل بين اسكريپت هاي يك دامنه با داده هاي دامنه ي ديگر مي شود. به عنوان مثال اسكريپت هاي در حال اجرا در صفحه اي كه بر روي دامنه A ميزباني مي شود نبايد قادر باشد با محتوي موجود در همان صفحه كه از دامنه B لود شده است تعامل كند.
بدون اين محدوديت، مهاجمان مي توانند صفحاتي ايجاد نمايند كه فيس بوك، جيميل يا تعداد ديگري از سايت هاي حساس را در يك iFrame مخفي لود كند و سپس كاربران را به منظور ارتباط ربايي نشست هاي آن ها به مشاهده اين صفحات ترغيب نمايند.
آسيب پذيري هاي دور زدن SOP دستگاه هاي اندرويد نسخه هاي پيش از 4.4 را تحت تاثير قرار مي دهند كه بنا به داده هاي شركت گوگل اين نسخه ها بر روي 75 درصد از تمامي دستگاه هاي اندرويد كه به طور فعال از فروشگاه گوگل پلي بازديد مي كنند، نصب است. اندرويد 4.4 آسيب پذيري نيست زيرا به طور پيش فرض به جاي مرورگر AOSP از مرورگر گوگل كروم استفاده مي كند.
با توجه به داده ها، 81 درصد از كاربران Lookout در ژاپن از نسخه آسيب پذير مرورگر AOSP استفاده مي كنند اما در امريكا تنها 34 درصد از كاربران از نسخه آسيب پذير استفاده مي كنند. در اسپانيا 73 درصد از كاربران به طور بالقوه تحت تاثير اين آسيب پذيري ها قرار دارند.
توصيه مي شود تا كاربران اندرويد به جاي مرورگر AOSP از مرورگرهاي كروم، فايرفاكس يا ساير مرورگرهايي كه آسيب پذير نمي باشند استفاده نمايند.
- 2