iPhone & iPad

Эксперты Microsoft обнаружили в iOS и Android опасную уязвимость

Эксперты информационной безопасности сообщили об архитектурной уязвимости в iOS и Android, через которую потенциальные хакеры могут похищать пользовательскую информацию, в том числе адреса электронной почты, пароли от сервисов в интернете и другое. «Дыру» безопасности в мобильных операционных системах обнаружили специалисты Microsoft при поддержке программистов из американского Университета Индианы.

facebook-token-1

Как пишет CyberSecurity, обе платформы исходят из того, что браузерные файлы-cookie, файлы документов и другой ограниченный контент, исходящий из одного домена может быть без каких-либо лимитов доступен скриптам с того же домена, но контролируемым другими людьми. В итоге, это приводит к тому, что при определенных обстоятельствах потенциальные хакеры через cookie или веб-скрипты получают доступ к пользовательской информации на смартфонах и планшетах.

Обе мобильные «операционки» используют схожую систему, так называемую same-origin policy, представляющую собой фундаментальный механизм обеспечения безопасности, который впервые был реализован в настольных браузерах.

facebook-token-450x575

Для демонстрации уязвимости эксперты провели несколько так называемых XSS- (Cross-Site Scripting) и CSFR-атак (Cross-Site Request Forgery) для загрузки пользовательской информации на удаленный сайт с iPhone и смартфонов на Android. По словам авторов метода, наиболее опасным моментом атаки является то, что она работает сразу в двух популярных ОС и требует наличия всего одной ссылки на cookie-файл.

«Проблема в том, что ни в Android, ни в iOS нет защиты origin-based, чтобы управлять взаимодействием между контентом разных приложений, обращающихся через совместные идентификаторы», – сказал Руи Вонг, один из авторов концепции атаки.

6 комментариев

Написать комментарий