באג חדש מאיים על כמחצית משוק האנדרואיד העולמי
הדפדפן המובנה בגרסאות ישנות של מערכת ההפעלה הפופולרית - שמהוות כ-50% מהמכשירים - סובל מפרצת אבטחה חמורה. דרכה, יכולים האקרים לגנוב סיסמאות, היסטוריית גלישה ואף לתעד כל מילה שהוא מקליד
17:5317.09.14
פרצת אבטחה חמורה שהתגלתה בדפדפן המובנה של אנדרואיד מציבה בסיכון חמור רבים ממשתמשי הסמארטפונים שמריצים את מערכת ההפעלה, כך טוען אתר Arstechinca.
פרצה קוראת להאקר
קראו עוד בכלכליסט:
- 75% מאפליקציות המובייל יקבלו ציון אפס במבחני אבטחת מידע
- חור בג'ימייל: 5 מיליון חשבונות מייל נפרצו בידי האקרים
פרצה קוראת להאקר
דפדפן אנדרואיד הוא דפדפן קוד פתוח שהיה בעבר חלק ממערכת ההפעלה בגרסת (AOSP (Android Open Source Platform, גרסה הנמצאת בשימוש אצל חלק מהיצרניות שמעדיפות שלא לפעול תחת התנאים שגוגל דורשת. מגרסה 4.2 ואילך של אנדרואיד הוחלף הדפדפן הישן בכרום, כאשר אפליקציות מסוימות המשיכו להשתמש ברכיבים שלו עד לגרסה 4.4 - כך שרוב המכשירים החדשים והחזקים יותר לא פגיעים לבאג, אבל הוא עדיין נמצא בשימוש במכשירים ישנים וזולים יותר שמריצים גרסאות קודמות.
לא מדובר בשיעור זניח: על פי בדיקת Arstechnica, דפדפן אנדרואיד עדיין נפוץ יותר מגרסת המובייל של כרום, כאשר בין 40% ל-50% ממשתמשי אנדרואיד עדיין מריצים אותו.
גוגל: מהתעלמות לטיפול
מרבית הדפדפנים המודרניים מונעים אפשרות להתקפות כאלה על ידי הגבלת הגישה של סקריפטים אל אלמנטים שמגיעים מאותו מקור בלבד - כלומר, סקריפט שנטען מאתר מסוים יוכל לבצע פעולות רק על רכיבים באותו אתר. בדפדפן אנדרואיד המגבלה הזו קיימת אך מיושמת באופן לקוי, כך שהאקר מיומן יוכל לכתוב סקריפט שעוקף אותה. הפרצה התגלתה על ידי מומחה האבטחה העצמאי רפאי באלוך.
באלוך העביר את פרטי הפרצה לגוגל, אך לטענתו בחברה בחרו בתחילה להתעלם, טענו כי לא הצליחו לשחזר אותה וסגרו את הפניה שלו. לאחר שפרסם פוסט בנושא והבאג זכה לביקורת חריפה גם מחברת האבטחה Metaspolit, שינו בגוגל את עמדתם והודיעו כי החברה עובדת על תיקון לפרצה, שמועד שחרורו טרם פורסם.
