Исследователи обнаружили уязвимость в браузере Android

Исследователи обнаружили уязвимость в браузере Android

Группа исследователей из IBM обнаружила уязвимость в браузерах Android, позволяющую выполнение JavaScript кода.

Группа исследователей из IBM обнаружила уязвимость в браузере для Android, позволяющую выполнить JavaScript код. Согласно  отчету специалистов, уязвимость существует в операционной системе версий 2.3.4 и 3.1, а также возможно в более ранних версиях. Вредоносный JavaScript код способен похитить из браузера конфиденциальную информацию, такую как файлы куки, кэш и историю посещения страниц, косвенным образом обходя архитектуру песочницы Android. Уязвимость существует из-за ошибки при обработке вызовов на просмотр страниц, исходящих от сторонних приложений. 

Исследователи продемонстрировали два варианта внедрения кода. В одном они использовали максимально возможное количество открытых вкладок, а в другом они отправили в браузер два последовательных запроса в маленький промежуток времени. Также исследователи предполагают, что приложение, атакующее таким образом браузер, может установить себя в качестве сервиса, и таким образом повысить эффективность атаки. Однако в этом случае необходимо чтобы пользователь, собственноручно скачал и установил вредоносное приложение. 

Уязвимость была найдена в методе onNewIntent(), и была устранена в Android 2.3.5 и 3.2. В скором времени будут доступны исправления для Android версий 2.2.x и выше. 


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!