ΑρχικήsecurityΕυπάθεια XFO στο Play Store Web App Domain

Ευπάθεια XFO στο Play Store Web App Domain

Ευπάθεια XFO στο Play Store Web App Domain επιτρέπει την απομακρυσμένη εκτέλεση κώδικα

XFO Flaw Play Store Web App Domain

Προειδοποίηση ασφάλειας εκδόθηκε από ερευνητές ασφαλείας για κακόβουλους χρήστες που είναι σε θέση να εγκαταστήσουν και να εκκινήσουν αυθαίρετες εφαρμογές στο Play Store, αξιοποιώντας μια cross-site scripting (XSS) ή μια universal cross-site scripting (UXSS) ευπάθεια στην εφαρμογή της Google.

Σε μια επίθεση UXSS, οι client-side ευπάθειες αξιοποιούνται στον web browser ή σε web εφαρμογή, γεγονός το οποίο μπορεί να επιτρέψει την εκτέλεση κώδικα, παρακάμπτοντας τους μηχανισμούς ασφάλειας στο πρόγραμμα περιήγησης.

Η ευπάθεια προκύπτει από το γεγονός ότι η εφαρμογή Play Store δεν περιλαμβάνει την πλήρη υποστήριξη για X-Frame-Options (XFO), που είναι μια κεφαλίδα HTTP που υποδεικνύει εάν στον web browser θα πρέπει να επιτραπεί να φορτώσει μια σελίδα σε ένα πλαίσιο.

Κακόβουλοι φορείς βασίζονται συχνά σε αυτή την τεχνική για να ξεγελάσουν τους χρήστες στο να πιστέψουν ότι το περιεχόμενο σε ένα iframe προέρχεται από αξιόπιστη πηγή.

Ο πιθανός κίνδυνος απευθύνεται στους χρήστες του JellyBean (4.3) και παλαιότερων εκδόσεων του Android, τα οποία δεν λαμβάνουν πλέον επίσημες ενημερώσεις ασφαλείας για το WebView.

Ο Tod Beardsley από τη Rapid7, που συντηρεί το Metasploit εργαλείο δοκιμών διείσδυσης, εξηγεί σε ένα blog post την Τρίτη ότι το πρόγραμμα περιήγησης στο Android 4.3 και στα προγενέστερα, φέρουν UXSS κενά ασφάλειας.

Ο ερευνητής απέδειξε με κώδικα JavaScript και Ruby, ότι η απάντηση από το domain play.google.com μπορεί να παραχθεί χωρίς την κατάλληλη επικεφαλίδα XFO.

Για την αποφυγή παραβίασης από επιτιθέμενους που εκμεταλλεύονται την έλλειψη υποστήριξης XFO μπορεί να γίνει με τη χρήση ενός web browser που δεν είναι ευάλωτος, όπως είναι ο Google Chrome, ο Mozilla Firefox ή ο Dolphin. Ο Beardsley προσθέτει ότι η αποσύνδεση από το λογαριασμό Google είναι επίσης χρήσιμο, αν και η πρακτική αυτή είναι εξαιρετικά απίθανο να υιοθετηθεί από την πλειοψηφία των χρηστών.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS