Hlavní navigace

Webový prohlížeč v Androidu obsahuje závažnou chybu

22. 9. 2014

Sdílet

 Autor: © Hugo Barra
Open-sourcový webový prohlížeč integrovaný do operačního systému Android obsahuje zranitelnost, která umožňuje nebezpečným webovým stránkám umisťovat javascriptový kód do jiných stránek.

Tento nebezpečný kód následně může číst cookie či hesla, posílat formuláře, zachycovat stisknutí kláves uživatelem a provádět spoustu dalších úkonů.

Webové prohlížeče jsou obecně nevrženy tak, aby zamezovaly skriptu z jedné stránky přistupovat k obsahu na druhé stránce. K zaručení této ochrany je použit princip SOP (Same Origin Policy): skripty mohou pouze číst či upravovat prvky webových stránek, jež přicházejí ze stejného zdroje jako samotný skript. Zdroj je pak identifikován pomocí protokolu, domény a čísla portu. SOP by měl zabraňovat tomu, aby například skript z http://červ.cz/ mohl přistupovat například k obsahu na http://computerworld.cz/.

Chyba v androidovém prohlížeči však umožňuje prolomení SOP. Jak zjistil Rafay Baloch, pokud je javascriptový kód vytvořen určitým způsobem, může zcela ignorovat SOP a bez jakýchkoli dalších omezení zasahovat do obsahu jiných webových stránek. To prakticky znamená, že jakákoli webová stránka navštívená v prohlížeči může krást citlivá data. Z uvedeného je zřejmé, že jde o kritickou zranitelnost, kterou je třeba opravit, a to rychle.

Google ve snaze získat nad Androidem větší kontrolu, svůj prohlížeč AOSP z Androidu částečně odstranil u verze 4.2 a u verze 4.4 jej zcela nahradil prohlížečem Chrome. Stejně tak, jako se nevypařily po oficiálním ukončení podpory z internetu Windows XP, však nezmizela ani aplikace open-sourcového androidového prohlížeče. Androidový prohlížeč v současné době v reálu používá více lidí než Chrome, jelikož jen málo uživatelů má nejnovější verzi Androidu a ještě méně si nainstaluje Chrome a používá ho.

Androidový prohlížeč je také zakomponován do produktů třetích stran a někteří uživatelé si jej dokonce nainstalovali na Android 4.4, jelikož jej preferují oproti Chromu. Baloch problém nahlásil Googlu, avšak společnost mu odpověděla, že se jejím technikům nepovedlo problém reprodukovat, a celou věc uzavřel. Baloch tedy celý případ popsal na blogu a vyvinul framework, který díru umožňuje testovat. Google následně oznámil, že se mu již problém podařilo zjistit a pracuje na záplatě.

Jak však záplata bude distribuována, není jasné. Chrome je aktualizován přes Play Store a starý androidový prohlížeč byl opravován jen v rámci aktualizací celého operačního systému. Ty však nejsou zdaleka tak časté. Bezpečnostní experti proto v mezidobí doporučují, aby uživatelé starších verzích Androidu přešli na Chrome, Firefox nebo Operu.