Μια σοβαρή ευπάθεια έχει ανακαλυφθεί στο προεπιλεγμένο πρόγραμμα περιήγησης Android (AOSP), που επιτρέπει σε κακόβουλες ιστοσελίδες να παρακάμψουν το “Same Origin Policy (SOP)” και να κλέψουν τα δεδομένα των χρηστών από άλλες ιστοσελίδες που βρίσκονται σε άλλες καρτέλες. Το πρόγραμμα περιήγησης AOSP είναι το προεπιλεγμένο πρόγραμμα περιήγησης σε Android εκδόσεις, παλαιότερες από την 4.4.
Τι είναι το Same Origin Policy;
Το SOP διαδραματίζει σημαντικό ρόλο στην Διαδικτυακή Ασφάλεια, περιορίζοντας μια ιστοσελίδα από την πρόσβαση σε συνεδρίες (sessions) και στα δεδομένα που αποθηκεύονται σε άλλες ιστοσελίδες. Για παράδειγμα, η πολιτική αυτή περιορίζει ένα site «Y» από την πρόσβαση στα cookies που αποθηκεύονται από το site «Χ» στο πρόγραμμα περιήγησης του χρήστη.
Same Origin Policy Bypass:
Ο Rafay Baloch, ένας ερευνητής ασφάλειας, εντόπισε ένα κενό ασφάλειας στο σύστημα “Same Origin Policy” που χρησιμοποιείται από το AOSP browser. Το bug επιτρέπει η ιστοσελίδα «Y», να έχει πρόσβαση στις συνεδρίες και τα δεδομένα του χρήστη που αποθηκεύονται από την ιστοσελίδα «Υ».
Φανταστείτε ότι επισκέπτεστε την ιστοσελίδα του εισβολέα, ενώ το webmail σας είναι ανοιχτό σε μια άλλη καρτέλα, ο εισβολέας θα είναι πλέον σε θέση να κλέψει τα δεδομένα από το e-mail σας ή μπορεί να κλέψει τα cookies σας και να τα χρησιμοποιήσει για να θέσει σε κίνδυνο τον λογαριασμό e-mail.
, που επιτρέπει σε κακόβουλες ιστοσελίδες να παρακάμψουν το "Same Origin Policy (SOP)"){kind=link}