אם אתה מאלה שמשתמשים ב- דפדפן אנדרואיד בסיסי (זה שנכלל כברירת מחדל בטרמינלים רבים) ושמתבסס על WebKit בקוד פתוח, עליך לדעת שבזה התגלה ליקוי אבטחה שניתן לנצל לביצוע פעולות לא מורשות שעלולות לסכן את האבטחה מהמסוף שלך .
הדבר הראשון שצריך לדעת הוא שהחור משפיע על הניווט הבסיסי שנכלל במערכת ההפעלה לפני שגוגל החליטה להשתמש בכרום, אבל האמת היא שיש מספר לא מבוטל של משתמשים שעדיין משתמשים בו באופן קבוע (זהו אחד מהאפשרויות בעיות פיצול שיש למערכת ההפעלה Mountain View). אלה הם אלה שעלולים להיתקל בבעיות והאחוז יכול לעלות עד 40% מהמשתמשים שיש להם מסוף אנדרואיד, שכן גם חלק יצרנים יצרו פיתוחים משלהם המבוססים על WebKit בקוד פתוח.
העובדה היא שבאמצעות ניצול הפגיעות הידועה, ניתן להפעיל מקוד JavaScript עם "ניצול", לקרוא את העוגיות של הטרמינל, לדעת סיסמאות מאוחסנות ואפילו לשלוח מיילים. כל זאת מבלי שהמשתמש יצטרך לאשר דבר. זה מושג, לפי המגלה שלו (רפי בלוך), עוקף את מדיניות האבטחה של SOP (המגינה מפני ביצוע סקריפטים שאינם מותרים בדפדפן). העובדה היא שהפגיעות קיימת ולכן יש לנקוט משנה זהירות בעת גלישה בדפים מסוימים.
האם זו פגיעות מסוכנת מאוד?
אם אתה משתמש בגרסאות העדכניות ביותר של אנדרואיד, כגון KitKat, הסיכון כמעט ואינו קיים (למרות שחלקים מסוימים של הישן המושפע נמצאים בשימוש בדפדפן כרום), ומכאן החשיבות של עדכון קבוע של מערכת ההפעלה -ושהיצרנים ישיקו אותם ויציעו אותם במהירות- .
העובדה היא שאם לוקחים בחשבון את נתוני השימוש העדכניים ביותר מהפצות אנדרואיד - שם KitKat היה 25% מהשוק -, ההערכה היא כי 40% מהמשתמשים עלולים להיות מושפעים (כן, הם צריכים להיתקל בקוד מאוד ספציפי באתרים שבהם הם מבקרים, מה שגם מפחית את הסכנה הפוטנציאלית שקיימת.) כמעט כולם עם מכשירים ישנים ושלא מעודכנים היטב לגבי התוכנה.
כמו כן, יש פתרון מאוד פשוט: התקן והשתמש בדפדפן שאינו הדפדפן הבסיסי הכלול בגרסאות ישנות של אנדרואיד. דוגמה יכולה להיות Chrome, Firefox או Dolphin. בכל מקרה, כבר נמסר מגוגל שהבעיה ידועה ושוחזרה, אז נעשתה עבודה לפתרון אותה. בנוסף, גם השימוש המבוקר בדפים שנכנסים אליהם הוא דבר שמאפשר לצמצם את הסיכונים כמעט לחלוטין. העובדה היא שזה א פרק חדש של בעיות אבטחה במערכת ההפעלה גוגל.
מקור: ArsTechnica