Стоковый браузер Android уязвим для URL-спуфинга

21.05.2015 | 01:25 Экономика

Уязвимость в стандартном браузере Android позволяет злоумышленникам подменять URL, отображенную в адресной строке, что позволяет запускать более надежные фишинг-атаки.

В апреле Google выпустила патчи для исправления уязвимости, но многие телефоны, вероятно, по-прежнему страдают от нее, потому что производители и операторы не спешат распространять патчи для Android.

Уязвимость была обнаружена исследователем Рафаем Бэлоком, и компания информационной безопасности Rapid7 приватно сообщила о ней Google.

Белуджи обнаружил уязвимость в Android 5.0 Lollipop, который использует Chrome в качестве браузера по умолчанию, но позже подтвердил ее наличие в стоковом браузере на старых версиях Android.

Проблема выходит за рамки сообщения браузера об ошибке 204 «No Content», возвращаемой серверами. Исследователь создал доказательство правильности концепции в виде эксплойта, который перенаправляет браузер на несуществующий ресурс, а затем загружает поддельную страницу входа в аккаунт Google.

Патч для Chrome распространяется для пользователей Android Lollipop через Google Play, но патч для Android 4.4 (KitKat) потребует обновления ОС, что зависит от производителей устройств и операторов, сказал Тод Бердсли, руководитель по исследованию безопасности из Rapid7.

По данным официальной статистики Google, почти 40 процентов устройств Android, имеющих доступ в Google Play, работают на Android 4.4, и только 10% используют Android 5.x.

Пользователям Android 4.4, недавно не получавшим обновления, следует избегать использования стоковый браузер для доступа к сайтам, которые требуют аутентификации, сообщает Rapid7. Chrome или другие браузеры, обновляющиеся через Google Play, являются быть хорошей альтернативой.

Пользователям, работающим на Android-версиях старше 4.4, следует прекратить использование стокового браузера Android, известного как AOSP браузер, потому что Google больше не будет выпускать для него патчи безопасности.