lunedì 29 settembre 2014

Android, il 75% è vulnerabile al furto dati tramite navigatore

Brutte notizie per i possessori di dispositivi e cellulari Android: un bug del browser nasconderebbe una critica falla di sicurezza.
Il navigatore predefinito del sistema operativo Android, nelle versioni precedenti al 4.4 o
KitKat, è vulnerabile ad attacchi realizzati da siti web capaci di sfruttare una falla di sicurezza per prendere il controllo delle sessioni iniziate dall'utente.
Questo problema è frutto di una vulnerabilità universale del tipo XSS o Cross Site Scripting, che colpisce il modo in cui il navigatore gestisce sequenze di comandi JavaScript preceduti da un carattere vuoto. Quando il navigatore trova una catena di questo tipo, il browser di Android non è in grado di applicare il protocollo 'same-origin', un controllo di sicurezza che impedisce allo script di inserirsi in altri contesti differenti del navigatore, come altre schede o finestre già aperte.
"Significa che, in caso che un sito web pericoloso controllato da uno spammer potrebbe tranquillamente accedere e visualizzare altre web che stiamo visitando" scrive sul suo blog Tod Beardsey, responsabile tecnico del progetto Metasploit Framework.
"Immaginate di entrare su un sito web pericoloso mentre siamo connessi al nostro servizio di web mail: l'hacker potrebbe vedere tutto ciò che facciamo". Ancora peggio, sarebbe capace di ottenere una copia dei nostri cookies di sessione e sequestrare la nostra sessione in modo assoluto potendo controllare la nostra email direttamente.
Questa vulnerabilità è stata scoperta da un ricercatore indipendente chiamato Rafay Baloch che ha pubblicato i risultati della sua investigazione il 31 di agosto scorso. Purtroppo, e non si capisce il perchè, questo studio arriva solo oggi alla conoscenza della rete, mentre già moltissimi possessori di Android continuano ad essere in pericolo.
Un consiglio semplice e immediato a tutti coloro che potrebbero essere a rischio: usate navigatori web di terze parti sui vostri dispositivi, come per esempio Google Chrome, Opera, Mozilla Firefox, Dolphin Browser o altri non colpiti da questa vulnerabilità.


Nessun commento:

Posta un commento