Fornecer um Helpdesk segura e eficiente
Um módulo Metasploit foi desenvolvido para explorar facilmente uma falha perigosa em 75 por cento de dispositivos Android que permite que atacantes para seqüestrar sites abertos um dos usuários.
A vulnerabilidade exploram alvos (CVE-2014-6041) em versões do Android 4.4 e abaixo e foi divulgado sem alarde no dia 1 de setembro, mas teve uma vez que a poeira recolhida, de acordo com pesquisadores.
Tod Beardsley ( TodB ), um desenvolvedor para o kit de ferramentas de segurança Metasploit apelidado de "grande" falha "um desastre de privacidade".
"O que isto significa é qualquer site arbitrária - por exemplo, uma controlada por um spammer ou um espião - pode espiar o conteúdo de qualquer outra página da web", Beardsley disse .
"[Se] você foi para um site de atacantes, enquanto você tinha seu web mail aberto em outra janela, o atacante poderia raspar seus dados de email e ver o que o seu navegador vê.
"Pior, ele poderia prender uma cópia do seu cookie de sessão e seqüestrar sua sessão completamente, e ler e escrever e-mail web em seu nome."
Ele trabalhou com um a Javascript malformado: manipulador de URL prefixado com um byte nulo que permitiu aos atacantes ignorar a mesma origem política no Android Plataforma extinto, mas ainda popular Open Source (AOSP).
A criação de um módulo para a plataforma de teste de penetração Metasploit seria tornar a exploração mais fácil.
Pesquisador Rafay Baloch descobriu a SOP desvio falha em sua Qmobile Noir A20 rodando Android 4.2.1 do navegador, e mais tarde verificou-se em dispositivos da Sony, Xperia, Tipo, Samsung Galaxy, HTC Wildfire, Motorola e muito mais. Ele descreveu o desvio SOP em um post anterior.
"Um bypass SOP ocorre quando um siteA.com é de alguma forma capaz de acessar as propriedades de siteB.com como os cookies, localização, resposta etc Devido à natureza do problema e impacto potencial, os navegadores têm modelo muito rigoroso pertencente lo e um bypass SOP é raramente encontrado em navegadores modernos, no entanto, eles são encontrados de vez em quando ".
Beardsley disse que quase 100 por cento dos telefones baratos Android rodar a versão 4.2 "Jellybean" e seriam afetados. ®
Nenhum comentário:
Postar um comentário