MIUI 10 - najnowsza nakładka Xiaomi na Androida
Luka w domyślnej przeglądarce internetowej systemu Android umożliwia atakowanie przez oszustów Adres URL wyświetlany na pasku adresu, pozwalający na bardziej wiarygodne ataki phishingowe.
Google wydało poprawki na lukę w kwietniu, ale wiele telefonów prawdopodobnie nadal jest dotkniętych tym problemem, ponieważ producenci i operatorzy zazwyczaj powoli rozwijają i rozpowszechniają łatki systemu Android.
Luka została odkryta przez badacza o imieniu Rafay Baloch i została prywatnie zgłoszona do Google przy pomocy firmy ochroniarskiej Rapid7.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]Baloch odkrył lukę w systemie Android 5.0 Lollipop, który używa przeglądarki Chrome jako domyślnej przeglądarki, ale potem również ją potwierdził w przeglądarce plików w starszych wersjach Androida.
Problem wynika z nieprawidłowej obsługi błędu 204 przeglądarki "No Conte nt "po zwróceniu przez serwery. Badacz stworzył exploit typu "proof-of-concept", który przekierowuje przeglądarkę do nieistniejącego zasobu na stronie www.google.com, a następnie ładuje fałszywą stronę logowania na konto Google.
Poprawka przeglądarki dla przeglądarki Chrome została rozprowadzona do systemu Android Lollipop użytkowników za pośrednictwem Google Play, ale poprawka dla Androida 4.4 (KitKat) będzie wymagać aktualizacji systemu operacyjnego, której dostępność będzie zależeć od producentów i przewoźników urządzeń, powiedział Tod Beardsley, kierownik ds. badań nad bezpieczeństwem w Rapid7, za pośrednictwem poczty elektronicznej.
Według oficjalnych statystyk Google prawie 40 procent urządzeń z Androidem, które uzyskują dostęp do Google Play, ma Androida 4.4, a tylko 10 procent uruchamia Androida 5.x
Użytkownicy Androida 4.4, którzy nie otrzymali ostatnio aktualizacji systemu operacyjnego, powinni unikać korzystania z przeglądarki plików w celu uzyskania dostępu do witryn wymagają uwierzytelnienia, Rapid7 powiedział w poradniku. Chrome lub inne przeglądarki zaktualizowane przez Google Play mogą być dobrą alternatywą.
Użytkownicy korzystający z wersji Androida starszej niż 4.4 powinni zrezygnować z korzystania z przeglądarki zasobów Android, znanej również jako przeglądarka AOSP, ponieważ Google nie będzie już wydawać poprawek zabezpieczeń za to.
Przeglądarka zasobów systemu Android jest podatna na fałszowanie adresów URL
Zaleca się, aby użytkownicy instalowali Chrome lub inną przeglądarkę
Microsoft odrzuca okropny czas pracy Chrome, by wzmocnić Edge <1099 systemu Windows 10. Jeśli wszystko, czego chcesz poza przeglądarką, działa dobrze na laptopie, to Edge może być przeglądarką ty.
Pomimo wszystkich "zachęt" Microsoftu, aby zachęcić ludzi do przejścia na Windows 10 i korzystania z Edge'a jako domyślnej przeglądarki, Google Chrome nadal jest najlepszym wyborem na komputerze. Teraz Microsoft ma nadzieję, że uda się przekonać ludzi do przejścia na Edge'a, stosując inną taktykę: wskaźniki wydajności.
