Qual é o vetor de ataque da vulnerabilidade <= 4.3 da Web? -- security camp android Relacionado O problema

What is the attack vector of <= 4.3 web view vulnerability?


3
vote

problema

português

Isso está em referência à vulnerabilidade que o Google não está corrigindo, já que a webview em 4.3 e menos faz parte do sistema operacional e não é um componente atualizado separado.

Como algumas pessoas não terão opções de atualização fáceis de seu fabricante de telefone ou transportadora de células, elas podem considerar apenas ficar com 4.3, ou algumas ainda estão esperando que sua operadora forneça uma atualização em algum momento. Neste caso, é útil entender o que se pode fazer para mitigar o risco da vulnerabilidade.

Esta é uma vulnerabilidade que qualquer site pode explorar apenas visitando o site com o navegador da Web padrão? Isto é Se eu for para someverymaliciicsite.example.com e ele contém JavaScript específico que segmenta a vulnerabilidade e permite a execução do código remoto.

Se assim for, esse risco é mitigado usando um navegador como o Firefox ou o Chrome (que estou supondo que não use o componente WebView).

ou a vulnerabilidade exige instalar um aplicativo que um desenvolvedor tenha escrito maliciosamente para explorar o componente da Web Visualizar, para permitir que o aplicativo execute ações que não foi permitido?

english

This is in reference to the vulnerability that Google is not patching, since the WebView in 4.3 and less is part of the OS and not a separate updateable component.

Since some people will not have easy upgrade options from their phone manufacturer or cell carrier, they might consider just staying with 4.3, or some are still hoping their carrier provides an upgrade at some point. In this case it's useful to understand what one can do to mitigate the risk of the vulnerability.

Is this a vulnerability that any website can exploit just by visiting the website with the standard web browser? I.e. if I go to someverymalicioussite.example.com and it contains specific javascript that targets the vulnerability and allows remote code execution.

If so, is that risk mitigated by using a browser like Firefox or Chrome (that I am guessing does not use the WebView component).

Or does the vulnerability require installing an app that a developer has maliciously written to exploit the Web View component, to allow the app to perform actions that it wasn't permitted to?

  
 
 

Lista de respostas

2
 
vote
vote
Melhor resposta
 

Enquanto isso recebe atenção apenas pela mídia agora já existe uma exploração em MetaPloit que exploram essa vulnerabilidade.

O MetaSploit Exploit "Single-Click" destina uma vulnerabilidade em um componente da WebView que é usado pelo navegador Android nativo, embora o componente também possa ser usado por outros aplicativos.

De acordo com um vídeo de demonstração de ataque publicado por Rapid7, o bug pode ser explorado, enganando um usuário para digitalizar um código QR malicioso que inclui o código de ataque, que aciona a vulnerabilidade no navegador Android e fornece ao comando do invasor Acesso à Shell ao dispositivo.

Mas a vulnerabilidade pode ser explorada de outras maneiras também. "Um vetor de ataque secundário envolve a webviews incorporados dentro de um grande número de aplicativos Android", diz uma visão geral publicada por Rapid7. "As integrações de anúncios são talvez o pior infrator aqui". Em particular, se um invasor pudesse obter acesso humano ao meio a uma conexão HTML de um aplicativo vulnerável, ou para o código de script transversal usado pelo aplicativo, o invasor poderia injetar o código JavaScript malicioso e ganhar comando-shell Acesso ao dispositivo.

Como se defender contra isso? Como quase tudo o que endurece, você precisará de raiz, então faça:

    .
  1. Exclua completamente o navegador de ações usando seu aplicativo favorito ou exclua o aplicativo Busante de estoque e o arquivo correspondente Odex (para usuários avançados)

  2. Bloqueie todos os anúncios que não dão nenhuma chance de um anúncio de interceptação e alterações man-in-the-intermediário exibidos por aplicativos com código malicioso. Adaway é um bom aplicativo de código aberto gratuito que pode ajudar e é avisável via f-droid.

  3. Usando o Chrome do Firefox ou o Safari deve ser seguro, mas se você quiser ainda mais segurança e realmente não se preocupe em quebrar algumas páginas, certifique-se de que o JavaScript esteja desativado (sem raiz necessária para esta etapa) Isso protegerá você contra um grande quantidade de ataques.

 

While this is getting attention by the media only now there is already one exploit in Metasploit that explore this vulnerability.

The "single-click" Metasploit exploit targets a vulnerability in a WebView component that's used by the native Android browser, although the component can also be used by other apps.

According to an attack-demonstration video published by Rapid7, the bug can be exploited by tricking a user into scanning a malicious QR code that includes the attack code, which then triggers the vulnerability in the Android browser and gives the attacker command-shell access to the device.

But the vulnerability can be exploited in other ways, too. "A secondary attack vector involves the WebViews embedded inside a large number of Android applications," says an overview published by Rapid7. "Ad integrations are perhaps the worst offender here." In particular, if an attacker could gain man-in-the-middle access to a vulnerable application's HTML connection, or to the cross-site scripting code used by the application, then the attacker could inject the malicious JavaScript code and gain command-shell access to the device.

How to defend against that? As almost anything that harden android you will need root then do :

  1. Completely delete the stock browser using your favorite app or delete the stock browser app and odex correspondent file (for advanced users)

  2. Block all ads entirely giving no chance to an man-in-the-middle intercept and change ads displayed by apps with malicious code. Adaway is a good free open source app that can help and it's avaible via F-Droid.

  3. Using firefox chrome or safari should be safe but if you want even more security and don't really care about breaking some pages make sure Javascript is disabled (no root needed for this step) this will protect you against a large quantity of attacks.

 
 
         
         

Perguntas relacionadas

0  Por que o CM13 do OnePlus 2 redefine-se de ajuste pontos de padrão?  ( Why cm13 of oneplus 2 resets itself setting show pattern dots ) 
Eu descobri que CM perde muitas vezes sua configuração sobre a visibilidade dos pontos de segurança na tela de bloqueio. Isso é frustrante porque estou usando...

6  OpenVPN com Android 2.3.x - Preocupações de segurança  ( Openvpn with android 2 3 x security concerns ) 
Eu preciso usar meu telefone Android 2.3.x para acessar um servidor OpenVPN. Eu tenho cm 7 com suporte em suporte para OpenVPN e TUN. Minha principal preocupa...

3  Como desativar a flag_secure sem root?  ( How to disable flag secure without root ) 
Acabei de perceber a única maneira de ignorar a segurança da captura de tela em determinados aplicativos é desativar este FLAG_SECURE , que como eu vejo pode...

6  Quão seguras são minhas senhas em serviço pós-venda?  ( How safe are my passwords at after sales service ) 
Meu telefone está atualmente inoperante. Samsung me pediu para largá-lo em um centro de reparo aprovado, que irá lidar com embarque e recepção de / para a Sam...

0  Como converter meu telefone no modo silencioso no modo geral automaticamente para um número de celular específico  ( How to convert my phone in silent mode into general mode automatically for speci ) 
Se meu celular estiver no modo silencioso e eu quero que meu telefone converte automaticamente o modo silencioso para o modo geral, recebendo chamada de númer...

0  "Sistema" está tentando acessar a Internet  ( System is trying to access internet ) 
Eu estou usando o OnePlus 3T, Android 9. Recentemente, eu instalei um aplicativo chamado "NorOot Firewall" para impedir que os aplicativos acessem a Internet....

4  Por que meu telefone não precisa atualizar a senha?  ( Why my phone does not need to update the password ) 
Eu mudei minha senha do Gmail há um dia, mas meu telefone não exige que eu coloque no novo. Eu ainda posso acessar meu Gmail com a senha antiga. Por quê? te...

27  Meu telefone foi apenas roubado uma hora ou mais atrás. Existem opções para rastreamento?  ( My phone was just stolen an hour or so ago are there any options for tracking ) 
Eu percebo que este é um tiro longo, mas meu telefone foi perdido ou roubado há algumas horas. No momento em que foi roubado, eu não tinha nenhum aplicativo...

0  Esqueci meu padrão de bloqueio, como faço para redefini-lo? [duplicado]  ( I forgot my lock pattern how do i reset it ) 
. Esta pergunta já tem respostas aqui : fechado 9 anos atrás . . Duplicado possível: Recupera...

11  Como sair remotamente todas as sessões do Gmail baseadas na Web do meu telefone Android  ( How to remotely log out all web based gmail sessions from my android phone ) 
Posso sair remotamente todas as sessões da Web do Gmail do meu telefone Android? Esta questão explica como fazer isso do site do Gmail com um navegador da...




© 2022 pergunte.org All Rights Reserved. Casa de perguntas e respostas todos os direitos reservados


Licensed under cc by-sa 3.0 with attribution required.