IT

Gigantisk sikkerhetshull oppdaget i Android

NSM: Slik beskytter du deg.

Hackere kan utnytte en svakhet i måten javascriptparseren i Android Browser leser nuller på.
Hackere kan utnytte en svakhet i måten javascriptparseren i Android Browser leser nuller på. Bilde: Montasje: Scanpix/Colourbox/Skjermdump
17. sep. 2014 - 09:27

Ekspertene trodde ikke sine egne øyne da de så hullet som ble oppdaget i Android Browser forrige uke.

Gjennom en svakhet i nettleserens evne til å holde nettstedsinnhold i vinduer og faner separert, kan hackere kjøre javascriptkode i én fane og laste inn informasjon fra en annen fane.

Dette betyr at en ugagnskråke kan hente inn informasjon fra for eksempel webmailen din mens du surfer på et nettsted som kjører javascriptkoden på sine nettsider.

Les også: Apper kan stjele sensitive data fra mobilen

23 prosent av alle mobiler rammet

Feilen skyldes en svakhet i Androids Same Origin Policy (SOP).

SOP er et grunnleggende prinsipp i nettlesersikkerhet, som tilsier at javascriptkode fra en nettside ikke skal kunne interagere med nettsider av et annet opphav.

Å kunne forbigå SOP er svært uvanlig i moderne nettlesere, men har altså vist seg mulig i Android så lenge operativsystemet er eldre enn versjon 4.4.

Det er ikke så rent få mobiler dette gjelder. Ifølge androidcentral.com benytter hele 75 prosent av Androids brukere fremdeles et operativsystem som er eldre enn KitKat (4.4).

Nettleseren var inntil forrige måned den mest brukte i verden, med rundt 23 prosent av brukerskaren. Nå er det så vidt tatt igjen av arvtageren Chrome.

TUs lesere har talt: TUs lesere har talt: Dette er de mest irriterende programmene

Tuller med nullbytes

Hullet er muliggjort gjennom måten nettlesere leser nuller på i Javascript-stringer.

Koden som henter inn data fra andre faner legges inn etter en serie 0-er, som nettleserens Javascript-parser velger å se bort fra, da nullbytes indikerer at en string avsluttes.

Tidligere i år uttrykte Massachusetts Institute of Technology bekymring rundt Googles manglende muligheter for å oppdatere gamle versjoner av operativsystemet Android.

Det har ikke lykkes Teknisk Ukeblad å få en kommentar fra søkemotorgiganten.

– Oppdater nettleseren

– Dette er en sårbarhet som etter hvert er blitt godt kjent i ulike sikkerhetsmiljøer. Den gode nyheten er at Android Browser ikke lenger distribueres som du skriver, da den er byttet ut med Chrome, sier Mona Strøm Arnøy i Nasjonal sikkerhetsmyndighet (NSM).

Hun legger til at deres operative enhet ikke er kjent med at det vil komme en sikkerhetsoppdatering, og oppfordrer derfor alle med Android Browser installert til å oppdatere operativsystemet eller benytte seg av en alternativ nettleser.

Artikkelen fortsetter etter annonsen
annonse
NITO
Sagt opp ulovlig i verneperioden
Sagt opp ulovlig i verneperioden

Les også:

Indisk IT-gigant: – Vær forberedt på helt nye ingeniøroppgaver

Google Maps lagrer hvert lille skritt du tar

Dette er verdens 10 mest populære programmeringsspråk  

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.