Другие новости
Для юных гостей фестиваля «Театральный бульвар» подготовили специальную программу
В рамках «Лета в Москве» пройдет новый сезон волонтерского проекта «Время добра»
Предприниматели тоже люди: как хобби помогают сохранять здравый смысл в бизнесе
В кинопарке «Москино» сняли уже более 120 проектов разных форматов
От концертов до поэтического марафона: программа ко Дню молодежи стартовала в Москве
Стоковый браузер Android уязвим для URL-спуфинга
Экономика
Уязвимость в стандартном браузере Android позволяет злоумышленникам подменять URL, отображенную в адресной строке, что позволяет запускать более надежные фишинг-атаки.
В апреле Google выпустила патчи для исправления уязвимости, но многие телефоны, вероятно, по-прежнему страдают от нее, потому что производители и операторы не спешат распространять патчи для Android.
Уязвимость была обнаружена исследователем Рафаем Бэлоком, и компания информационной безопасности Rapid7 приватно сообщила о ней Google.
Белуджи обнаружил уязвимость в Android 5.0 Lollipop, который использует Chrome в качестве браузера по умолчанию, но позже подтвердил ее наличие в стоковом браузере на старых версиях Android.
Проблема выходит за рамки сообщения браузера об ошибке 204 «No Content», возвращаемой серверами. Исследователь создал доказательство правильности концепции в виде эксплойта, который перенаправляет браузер на несуществующий ресурс, а затем загружает поддельную страницу входа в аккаунт Google.
Патч для Chrome распространяется для пользователей Android Lollipop через Google Play, но патч для Android 4.4 (KitKat) потребует обновления ОС, что зависит от производителей устройств и операторов, сказал Тод Бердсли, руководитель по исследованию безопасности из Rapid7.
По данным официальной статистики Google, почти 40 процентов устройств Android, имеющих доступ в Google Play, работают на Android 4.4, и только 10% используют Android 5.x.
Пользователям Android 4.4, недавно не получавшим обновления, следует избегать использования стоковый браузер для доступа к сайтам, которые требуют аутентификации, сообщает Rapid7. Chrome или другие браузеры, обновляющиеся через Google Play, являются быть хорошей альтернативой.
Пользователям, работающим на Android-версиях старше 4.4, следует прекратить использование стокового браузера Android, известного как AOSP браузер, потому что Google больше не будет выпускать для него патчи безопасности.
