Stort sikkerhetshull oppdaget i Android Browser


Dette sikkerhetshullet ble oppdaget i Android Browser forrige uke.

Det er nettleserens evne til å holde nettstedsinnhold i vinduer og faner separert som er problemet. Når hackere kan kjøre javascriptkode i én fane og laste inn informasjon fra en annen fane samtidig, blir det mulig å hente ut f.eks epostinformasjon (fra webmail) mens en annen fane er inne på et nettsted som kjører javascriptkoden.

23  % av verdens mobiltelefoner er rammet

En svakhet i Androids Same Origin Policy (SOP) er årsaken til problemet. SOP er et grunnleggende prinsipp innen nettleser-sikkerhet.  Javascriptkode fra en nettside skal ikke kunne kommunisere eller utveksle informasjon med andre kjørende nettsider.

Har telefonen din Androidversjon 4.3 eller eldre er det mulig å forbigå SOP.

75 % av Androidbrukerne har i dag telefoner med versjon 4.3 eller eldre. Når Androidbrowser er den nest mest brukte nettlesere etter Google Chrome, så betyr det at et stort antall mobilbrukere verden over kan oppleve misbruk og tap av informasjon og personopplysninger.

NorSIS anbefaler

Om det er mulig å oppdatere operativsystemet på din telefon så gjør dette. Alternativt benytt en annen nettleser enn Android browser. Sørg også for å sette denne nettleseren til “standard nettleser”

Les mer

GitHub

ThreatPostLes mer om hvordan innlegging av NUL i Iframes lurer browseren hos Naked Security

Naked Security – How to fix it