Implicazioni pratiche della vulnerabilità Android SOP del 2014

4

Per un progetto universitario ho svolto ricerche su tutti i tipi di problemi di sicurezza, specialmente quelli relativi alla privacy, che sono emersi negli ultimi anni su sistemi operativi e applicazioni mobili.

Una delle violazioni più infami che ho letto sembra essere il vulnerabilità della stessa politica di origine (SOP) che è stata rilevata nel browser azionario di Android (AOSP) l'anno scorso. Più leggo su questo attacco, più mi sembra che i media abbiano semplicemente esagerato la gravità di questo problema, dal momento che il vero vettore di attacco sembra essere piuttosto piccolo per me - almeno dal punto di vista della privacy. Per riassumere quello che ho scoperto:

  • C'è un campo di intestazione HTTP chiamato "Cross-Frame-Options" che impedisce esattamente questo tipo di attacco perché non puoi nemmeno aprire la pagina in questione all'interno di un iframe. A giudicare da alcune ricerche su Internet e test pratici, la maggior parte dei framework web definisce questa intestazione almeno per "stessa origine" per impostazione predefinita, per non parlare delle pagine importanti per la privacy come i social network, i servizi bancari online e così via.

  • Se hai MITM collegato la connessione e sei stato in grado di rimuovere l'intestazione dell'XFO, ciò implicherebbe che la comunicazione tra la vittima e il server non fosse criptata e potresti semplicemente rubare i cookie di sessione oi dati dei documenti direttamente.

  • Mi è venuta l'idea di rimuovere una pagina non sicura dell'intestazione dell'XFO, quindi aprirla all'interno di un iframe (ad esempio link ), quindi passare il valore del campo document.cookie da JS all'esterno, poiché in teoria potrebbe contenere anche cookie sicuri. Risulta, c'è la proprietà 'httpOnly' per i cookie, che impedisce esattamente questo tipo di abuso ...

Ora so che probabilmente ci sono centinaia di migliaia di siti più piccoli che non implementano tutte le misure di sicurezza di cui sopra o lo fanno in modo non corretto, ma articoli come quello che ho collegato (e dozzine di altri) affermano chiaramente che uno potrebbe leggere le e-mail da GMail o dirottare le sessioni di Facebook con questo presente di vulnerabilità. Ho ragione nel ritenere che i giornalisti che hanno scritto questi articoli non pensassero a tutto il testo, o mi mancano davvero alcune informazioni importanti?

    
posta zinfandel 07.06.2015 - 20:06
fonte

1 risposta

4

Non ho studiato questa specifica vulnerabilità, ma dai punti che menziono dovrei notare:

  • Cross-Frame-Options non è usato troppo sui siti web.

  • Sebbene questa vulnerabilità SOP è sminuito da X-Frame-Options, due mesi prima c'era altro dove non sembrava importare. La maggior parte dei telefoni obsoleti in cui sarai in grado di sfruttarne uno, molto probabilmente l'altro sarà anche sfruttabile.

  • Non mi fido troppo degli esempi specifici forniti quando i giornalisti spiegano una vulnerabilità che dice "potresti compromettere GMail / Facebook / BigSite", stanno solo fornendo un esempio di termini "laici" su ciò che può essere fatto con un vulnerabilità come quella, menzionando un sito web che tutti conoscono e si preoccupano della loro privacy. È possibile che quei giornalisti siano a conoscenza di questi dettagli più fini, o che la descrizione della vulnerabilità fosse già "semplificata" quando è stata loro spiegata.

risposta data 08.06.2015 - 00:25
fonte

Leggi altre domande sui tag