Összefoglaló
Az Android 4.3 és korábbi verzióinak sérülékenysége vált ismertté.
Leírás
A Google Play Store webes alkalmazának domain-jén hiányzik az X-Frame-Options (XFO) támogatása, ami lehetővé teszi a támadók számára a Google Play Store webes alkalmazának Cross-Site Scripting (XSS) sérülékenységének kihasználását, vagy univerzális XSS (UXSS) támadás végrehajtását több gyárilag sérülékeny böngészőn is. Ily módon a támadók a Play Store-on keresztül tetszőleges, Play Store-beli APK-t töltethetnek fel az érintett eszközre.
A Play Store domain-en keresztül kihasználható sérülékenység az Android Webview-ban található, amit a 4.4 verzióban cseréltek le Chromium alapúra, ezért a 4.4-es Android nem tartalmazza ezt a sérülékenységet. A Google hivatalosan nem támogatja tovább a 4.3 és korábbi Android verziókat, így ezek továbbra is sérülékenyek maradnak.
Megoldás
Lehetőség szerint frissítsen Android 4.4-es vagy 5-ös verzióra.
A beépített böngészőt használó alkalmazások esetében állítson be egy külső böngészőt a hivatkozások megnyitására. (például Facebook app esetén: ≡ Settings → [Always open links with external browser] → On)
A kockázatok csökkentése érdekében használjon alternatív böngészőket, amelyekben nem található ilyen sebezhetőség (Google Chrome, Mozilla Firefox, Dolphin), vagy jelentkezzen ki a Google szolgáltatásokból a böngészés idejére.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: community.rapid7.com
Egyéb referencia: community.rapid7.com
