Implicaciones prácticas de la vulnerabilidad del SOP de Android en 2014

4

Para un proyecto en la universidad, he investigado todo tipo de problemas de seguridad, especialmente los relacionados con la privacidad, que han surgido en sistemas operativos y aplicaciones móviles en los últimos años.

Una de las infracciones más infames que he leído parece ser la vulnerabilidad de la política del mismo origen (SOP) que se descubrió en el navegador de stock de Android (AOSP) el año pasado. Sin embargo, cuanto más leo sobre este ataque, más me parece que los medios de comunicación simplemente han exagerado enormemente la gravedad de este problema, ya que el verdadero vector de ataque me parece bastante pequeño, al menos desde el punto de vista de la privacidad. Para resumir lo que he descubierto:

  • Hay un campo de encabezado HTTP llamado 'Cross-Frame-Options' que evita exactamente este tipo de ataque porque ni siquiera se puede abrir la página en cuestión dentro de un iframe. A juzgar por algunas investigaciones de Internet y pruebas prácticas, la mayoría de los marcos web establecen este encabezado al menos en "el mismo origen" por defecto, por no hablar de las grandes páginas críticas para la privacidad, como las redes sociales, los servicios bancarios en línea, etc.

  • Si MITM 'hizo la conexión y pudo eliminar el encabezado XFO, eso implicaría que la comunicación entre la víctima y el servidor no estaba encriptada y que simplemente podría robar las cookies de la sesión o documentar los datos directamente de todos modos.

  • También tuve la idea de eliminar una página insegura del encabezado de XFO, luego abrirla dentro de un iframe (por ejemplo, enlace ), luego pase el valor del campo document.cookie de JS al exterior, ya que, en teoría, también podría contener cookies seguras. Resulta que existe la propiedad 'httpOnly' para las cookies, que evita exactamente este tipo de abuso ...

Ahora sé que probablemente hay cientos de miles de sitios más pequeños que no implementan todas las medidas de seguridad anteriores o lo hacen incorrectamente, pero artículos como el que yo vinculé (y docenas de otros) declaran claramente que uno podría lea correos electrónicos de GMail o secuestre sesiones de Facebook con esta vulnerabilidad presente. ¿Estoy en lo cierto al suponer que los periodistas que escribieron estos artículos simplemente no lo pensaron todo, o me estoy perdiendo algo de información crítica?

    
pregunta zinfandel 07.06.2015 - 20:06
fuente

1 respuesta

4

No he estudiado esta vulnerabilidad específica, pero por los puntos que mencionas, debo anotar:

  • Las opciones de marco cruzado no se utilizan demasiado en los sitios web.

  • Aunque esta vulnerabilidad de SOP está empequeñecido por X-Frame-Options, dos meses antes de que existiera otro donde no parecía importar. La mayoría de los teléfonos obsoletos donde podrás explotar uno de ellos, lo más probable es que el otro también sea explotable.

  • No confío demasiado en los ejemplos específicos que se dan cuando los periodistas explican una vulnerabilidad que dice "podría comprometer GMail / Facebook / BigSite", solo brindan un ejemplo en términos simples de lo que se puede hacer con un vulnerabilidad como esa, mencionando un sitio web que todos conocerán y se preocuparán por su privacidad. Es posible que esos periodistas estén al tanto de esos detalles más finos o que la descripción de la vulnerabilidad ya se haya "simplificado" cuando se les explique.

respondido por el Ángel 08.06.2015 - 00:25
fuente

Lea otras preguntas en las etiquetas