Если вы один из тех, кто пользуется базовый браузер Android (тот, который по умолчанию включен во многие терминалы) и основан на WebKit с открытым исходным кодом, вы должны знать, что в этом была обнаружена брешь в безопасности, которую можно использовать для выполнения несанкционированных действий, которые могут поставить под угрозу безопасность вашего терминала. .
Первое, что нужно знать, это то, что дыра влияет на базовую навигацию, которая была включена в операционную систему до того, как Google решил использовать Chrome, но правда в том, что есть большое количество пользователей, которые все еще используют его регулярно (это один из проблемы фрагментации, которые есть в операционной системе Mountain View). Это те, у которых могут быть проблемы, и процентная доля пользователей, имеющих терминал Android, может возрасти до 40%, поскольку некоторые производители создали собственные разработки на базе Open Source WebKit.
Дело в том, что, воспользовавшись известной уязвимостью, можно выполнять код JavaScript с «эксплойтами», читать файлы cookie терминала, знать сохраненные пароли и даже отправлять электронные письма. И все это без необходимости подтверждения пользователем. Это достигается, по словам его первооткрывателя (Рафай балоч) в обход политики безопасности SOP (которая защищает от выполнения скриптов, запрещенных браузером). Дело в том, что уязвимость существует и, следовательно, при просмотре определенных страниц необходимо соблюдать осторожность.
Это очень опасная уязвимость?
Если используются самые последние версии Android, такие как KitKat, риск практически отсутствует (несмотря на то, что некоторые части старого, затронутого, используются в браузере Chrome), отсюда важность регулярного обновления операционной системы - и чтобы производители запускали их и предлагали быстро - .
Дело в том, что если принять во внимание последние данные об использовании из дистрибутивов Android - где KitKat составлял 25% рынка -, по оценкам, 40% пользователей могут быть затронуты (Да, они должны сталкиваться с очень специфическим кодом на посещаемых ими веб-сайтах, что также снижает потенциальную опасность.) Почти все они со старыми устройствами и плохо обновленным программным обеспечением.
Также есть очень простое решение: установить и использовать браузер, отличный от основного, включенного в старые версии Android. Примером может быть Chrome, Firefox или Dolphin. В любом случае Google уже сообщил, что проблема известна и была воспроизведена, поэтому ведется работа по ее решению. Кроме того, контролируемое использование страниц, к которым осуществляется доступ, также позволяет практически полностью снизить риски. Дело в том, что это новый эпизод проблем безопасности в операционной системе Google.
источник: ArsTechnica