Veszélyes XSS sérülékenység az Android Marketen

Elhamarkodottan cselekedet Jon Oberheide biztonsági szakértő, mikor jelentette az általa az Android Marketben felfedezett igen jelentős XSS sérülékenységet. Akár 15000$ is üthette volna a markát, ha a sérülékenységet nevezi a hamarosan kezdődő 2011-es Pwn2Own versenyre.

A biztonsági rés egyszerűsége már-már zavarbaejtő. Ha feltöltünk egy alkalmazást az Android Marketre és egy tetszőleges szkriptet helyezünk el annak leírásában aminek segítségével akár alkalmazást is telepíthetünk a telefonra. Igaz ugyan, hogy az alkalmazás ilyenkor még nem indul el, de a telepítéskor beköthetők különböző eseménykezelők, amik automatikusan elindíthatják a potenciálisan rosszindulatú kódot. Így két alkalmazás egymásra építésével bármilyen kód futtatható az áldozat készülékén, gyakorlatilag annak tudta nélkül.

A sérülékenység jellegéből fakadóan verziófüggetlen és nagy megbízhatósággal kihasználható, így jó esélye indult volna a Pwn2Own versenyen melynek fődíja 15000$. A bejelentést követően a Google már javította is a hibát, Jon-nak pedig be kellett érnie a Google általános hibavadász programja által meghatározott 1337$-val.

http://jon.oberheide.org/blog/2011/03/07/how-i-almost-won-pwn2own-via-xss/