Összefoglaló
Az Android 4.3 és az előtti verziók alapértelmezett böngészői UXSS-re sérülékeny WebView tartalommegjelenítőt használnak. (Rapid7 azonosító: R7-2015-02)
Leírás
A play.google.com domain X-Frame-Options teljes támogatásának hiányában rosszindulatú felhasználók Cross-Site-Scripting (XSS) vagy Universal-XSS (UXSS) sérülékenységet használhatnak ki. Ezzel elérhetik, hogy tetszőleges Play Store-beli Android alkalmazásokat (APK) telepítsenek és futtassanak.
A legnagyobb veszélyben a Google szolgáltatásaiba (Gmail, Youtube) bejelentkezett felhasználók vannak. A Google már megoldotta a problémát a legújabb Android verziókban (4.4, 5), azonban a 18 hónapnál régebbi verziók kijavítását nem tervezi.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Lehetőség szerint frissítsen Android 4.4-es vagy 5-ös verzióra.
A beépített böngészőt használó alkalmazások esetében állítson be egy külső böngészőt a hivatkozások megnyitására. (például Facebook app esetén: ≡ Settings → [Always open links with external browser] → On)
A kockázatok csökkentése érdekében használjon alternatív böngészőket, amelyekben nem található ilyen sebezhetőség (Google Chrome, Mozilla Firefox, Dolphin), vagy jelentkezzen ki a Google szolgáltatásokból a böngészés idejére.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: community.rapid7.com
Egyéb referencia: community.rapid7.com