Уязвимость в нативном браузере Android ставит под угрозу учетные записи в Facebook

В браузере по умолчанию, который встроен в версии ОС Android ниже 4.4, существует серьезная уязвимость, которая позволяет злоумышленнику обойти политику единства происхождения (Same Origin Policy, SOP).

Первым об этой уязвимости в начале сентября 2014 года сообщил независимый исследователь безопасности Рафай Балох (Rafay Baloch). Исследователи из Trend Micro и Facebook зафиксировали множественные инциденты, в которых жертвами кибератак с эксплуатацией именно этой уязвимости  становились пользователи Facebook. Большое количество инцидентов объясняется тем, что экплоит для этой уязвимости опубликован в открытом доступе.

Кроме того, для обхода системы безопасности SOP браузеров более ранних версий ОС Android предпринимались XSS-атаки, с помощью которых в устройство жертвы из облачного хранилища внедрялся вредоносный файл на JavaScript. Речь идет об атаке с использованием ссылки, которая перенаправляет пользователей Facebook на вредоносный сайт.

Как сообщил эксперт из Trend Micro Саймон Хуанг (Simon Huang), сайт содержит обфусцированный JavaScript-код, который предусматривает загрузку URL страницы Facebook во внутренний фрейм. Вследствие использования тега <div> HTML-настройки страницы изменяются таким образом, что на экране изображение отсутствует, а размер внутреннего фрейма составляет 1 пиксель.

JavaScript-код позволяет злоумышленнику выполнять различные задачи от имени владельца учетной записи в Facebook. В частности, зафиксированы инциденты с применением официального приложения для BlackBerry для похищения маркеров доступа и последующего взлома учетных записей в Facebook.

Все устройства, работающие под управлением ОС Android ниже KitKat, подвержены этой уязвимости. Компанией Google еще в сентября этого года было выпущено исправление, однако миллионы устройств остаются под угрозой атаки: либо производители смартфонов прекратили выпуск обновлений, либо устройства не поддерживают более поздние версии операционной системы.

Уязвимость SOP существует в браузере Android-устройств, который невозможно деинсталлировать. В целях защиты следует отключить этот бразуер в настройках: зайти в меню «Приложения», выбрать пункт «Все», найти браузер и нажать кнопку «Отключить».