Zbog baga Android browser podložan fišing napadima

Mobilni telefoni, 21.05.2015, 07:00 AM

Zbog baga Android browser podložan fišing napadima

Istraživač Rafay Baloch otkrio je bezbednosni propust u default browseru Androida koji omogućava napadačima da lažiraju URL prikazan u adresnom baru, i da tako svoje fišing napade učine manje sumnjivim.

Google je objavio zakrpe za ovaj propust u aprilu, ali izgleda da su mnogi modeli telefona još uvek ranjivi, jer su proizvođači mobilnih telefona i operateri mobilne telefonije uglavom veoma spori u distribuciji zakrpa.

Baloch je svoje otkriće prijavio Googleu uz pomoć fime Rapid 7.

On je otkrio propust na Android 5.0 Lollipop, koji koristi Chrome kao default browser, ali je rekao i da propust postoji u browseru starijih verzija Androida.

Problem proizilazi iz načina na koji browser rukuje greškom 204 “No Content”. Napadač može iskoristiti ovaj propust da ubedi žrtvu koja je dobila fišing email, poruku ili link da unese svoje korisničko ime i lozinku na stranicu koja je pod njegovom kontrolom.

Zakrpa za browser Chrome distribuirana je korisnicima Android Lollipop preko Google Play, ali ispravka za Android 4.4 (KitKat) zahteva nadogradnju operativnog sistema, što zavisi od proizvođača i operatera.

Prema podacima Googlea, skoro 40% Android uređaja koji pristupaju Google Play koriste Android 4.4 a samo 10% Android 5.x.

Korisnici Android 4.4 koji nisu dobili update, trebalo bi da izbegavaju korišćenje Android browsera kada pristupaju sajtovima koji zahtevaju proveru identeta. U tom slučaju drugi browseri mogu biti dobra alternativa.

Korisnici koji koriste verzije Androida starije od 4.4 treba da prestanu da koriste Androidov default browser, i to u svakom slučaju, jer Google više neće isporučivati zakrpe za njega.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android malver koji se koristi za sajber-špijunažu širi se sakriven u aplikaciji za chat

Android malver koji se koristi za sajber-špijunažu širi se sakriven u aplikaciji za chat

Istraživači kompanije TrendMicro otkrili su malver za Android uređaje koji je nazvan CallerSpy, za koji se veruje da se koristi za sajber-špijuna... Dalje

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro sa pojedinačno onemogućenim praćenjem lokacije za sve aplikacije i sistemske usluge ipak nastavlja da prikuplja informacije o lokac... Dalje

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

FaceApp, mobilna aplikacija koja omogućava korisnicima da prave selfije a od njih prave starije verzije sebe, smatra se „potencijalnom kontraob... Dalje

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

U operativnom sistemu Android otkrivena je nova opasna ranjivost koja omogućava malverima da se predstavljaju kao legitimne aplikacije tako da korisn... Dalje

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indijska vlada želi da izvrši reviziju sigurnosnih sistema WhatsAppa nakon otkrića da je špijunski softver Pegasus iskoristio ranjivosti platform... Dalje