3 votes

AaronLS avatar

Quel est le vecteur d'attaque de la vulnérabilité de la vue web <= 4.3 ?

Demandé el 15 de Janvier, 2015
Quand la question a-t-elle été
1837 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Ceci est en référence à la vulnérabilité que Google n'est pas Parcheando, puisque le WebView dans 4.3 et moins fait partie du système d'exploitation et n'est pas un composant séparé pouvant être mis à jour.

Étant donné que certaines personnes ne disposeront pas d'options de mise à niveau faciles de la part du fabricant de leur téléphone ou de leur opérateur, elles pourraient envisager de rester avec la version 4.3, ou certaines espèrent toujours que leur opérateur fournira une mise à niveau à un moment donné. Dans ce cas, il est utile de comprendre ce que l'on peut faire pour atténuer le risque de la vulnérabilité.

S'agit-il d'une vulnérabilité que n'importe quel site web peut exploiter simplement en visitant le site avec un navigateur web standard ? Par exemple, si je me rends sur un site quelconquemalicioussite.example.com et qu'il contient un javascript spécifique qui cible la vulnérabilité et permet l'exécution de code à distance.

Si c'est le cas, ce risque est-il atténué par l'utilisation d'un navigateur comme Firefox ou Chrome (qui, je suppose, n'utilise pas le composant WebView).

Ou bien la vulnérabilité nécessite-t-elle l'installation d'une application qu'un développeur a malencontreusement écrite pour exploiter le composant Web View, afin de permettre à l'application d'effectuer des actions qu'elle n'était pas autorisée à faire ?

Demandé el 15 de Janvier, 2015 par AaronLS

Réponse

Trop de publicités?

2voto

Freedo avatar
Freedo Points 309

Alors que les médias n'en parlent qu'aujourd'hui, il existe déjà un exploit dans Metasploit qui explore cette vulnérabilité.

L'exploit Metasploit "en un clic" cible une vulnérabilité dans un composant WebView utilisé par le navigateur natif d'Android, bien que ce composant puisse également être utilisé par d'autres applications.

Selon une vidéo de démonstration de l'attaque publiée par Rapid7, le bogue peut être exploité en incitant un utilisateur à scanner un code QR malveillant comprenant le code d'attaque, qui déclenche alors la vulnérabilité dans le navigateur Android et donne à l'attaquant un accès de type command-shell à l'appareil.

Mais la vulnérabilité peut aussi être exploitée d'autres manières. "Un vecteur d'attaque secondaire implique les WebViews intégrées à l'intérieur d'un grand nombre d'applications Android", indique un aperçu publié par Rapid7. "Les intégrations publicitaires sont peut-être le pire contrevenant ici". En particulier, si un attaquant pouvait obtenir un accès de type man-in-the-middle à la connexion HTML d'une application vulnérable, ou au code de scripting intersite utilisé par l'application, il pourrait alors injecter le code JavaScript malveillant et obtenir un accès de type command-shell à l'appareil.

Comment se défendre contre cela ? Comme presque tout ce qui durcit Android vous aurez besoin de Root puis faire :

  1. Supprimez complètement le navigateur stock à l'aide de votre application préférée ou supprimez l'application navigateur stock et le fichier correspondant odex (pour les utilisateurs avancés).

  2. Bloque entièrement toutes les publicités, ne laissant aucune chance à une interception de type "man-in-the-middle" et modifie les publicités affichées par les applications avec du code malveillant. Adaway est une bonne application open source gratuite qui peut aider et qui est disponible via F-Droid.

  3. L'utilisation de Firefox, Chrome ou Safari devrait être sans danger, mais si vous voulez encore plus de sécurité et que vous ne craignez pas de casser certaines pages, assurez-vous que Javascript est désactivé (pas besoin de Root pour cette étape), ce qui vous protégera contre une grande quantité d'attaques.

Répondu el 15 de Janvier, 2015 par Freedo (309 Points )

Questions en vedette

Top Tags

Dans notre réseau

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X