Обнаружена новая критическая уязвимость в Android и iOS


Mobil MalwareНезависимыми специалистами по информационной безопасности была выявлена архитектурная уязвимость в операционных системах Android и Apple iOS, используя которую злоумышленники могут похищать закрытые пользовательские данные, такие как реквизиты электронной почты, сервисов хранения данных и других.

Исследователи пояснили, обе операционных системы исходят из того, что браузерные файлы-cookie, файлы документов и другой ограниченный контент, исходящий из одного домена, может быть без каких-либо лимитов доступен скриптам с того же домена, но контролируемым другими людьми. Это приводит к тому, что при определенных обстоятельствах хакеры, используя cookie или веб-скрипты могут получить доступ к пользовательской информации при получении ими целевого файла.

Обе ОС используют схожую систему, называемую same-origin policy, и представляющую собой фундаментальный механизм обеспечения безопасности, который впервые был реализован в настольных браузерах.

Для демонстрации уязвимости специалисты провели несколько так называемых XSS- (Cross-Site Scripting) и CSFR-атак (Cross-Site Request Forgery) для загрузки пользовательской информации на удаленный сайт с мобильных устройств. Исследователи утверждают, что наиболее опасным моментом атаки является то, что она работает сразу в двух популярных ОС и требует наличия всего одной ссылки на cookie-файл. Проблема также заключается в том, что ни в Android, ни в iOS нет защиты origin-based, чтобы управлять взаимодействием между контентом разных приложений, обращающихся через совместные идентификаторы.


Обновлено (29.08.2013 18:43)