android-browserKöhnə AOSP brovserində domen məhdudiyyətini (same-origin policy), şəbəkə təhlükəsizliyinin fundament prinsipini pozan boşluq aşkarlanmışdır. Boşluq 4.4+ versiyasından başqa bütün versiyalarda mövcuddur. Google  şirkəti rəsmi olaraq AOSP brovserini dəstəkləmədiyindən köhnə qurğularla işləyən şəxslər sistemdə bu brovseri deaktiv etməlidirlər.

Domen məhdudiyyətinin konsepsiyası ondan ibarətdir ki, bir saytın digər saytın kukilərini əldə edə bilməməlidir.

Məlum olmuşdur ki, Android brovserin parseri sıfır baytları (u0000) düzgün emal edə bilmədiyindən domen mıhdudiyyəti pozulur. Boşluq bu ilin avqust ayında aşkarlansada, mütəxəssislər baş vermiş hadisənin miqyası tam anlaya bilməmişdilər. Hal-hazırda Android  4.4 versiyasına qədər işləyən bütün qurğularda boşluğun mövcudluğu təsdiqlənməkdədir.

Boşluğu yoxlamaq üçün aşağıdakı kodu səhifəyə yerləşdirib brovserdə açılan səhifəni seyr etmək mümkündür. Heç bir zəmanət yoxdur ki, boşluq Android əməliyyat sistemi yarandığı gündən mövcud olmamışdır. Pis halı ondan ibarətdir ki, milyonlarla smartfon və planşet qurğusunda hələdə bu brovserdən istifadə edilsədə boşluğu aradan qaldıracaq yenilənmə heş bir zaman yazılmacayaqdır.

<iframe name=”test” src=”//www.rhainfosec.com”></iframe>

<input type=button value="test"
onclick="window.open('\u0000javascript:alert(document.domain)','test')" >

Metasploit freymvork yaradıcıları ilk əvvəl bu boşluğun Android sistemində mövcud olduğuna inanmasalarda,  sonra boşluğu “məxfilik əelyhinə olan kabus” adlandırmış və Metasploit modullarına əlavə etmişlər.

Kukilərin example.com səhifəsindən surətinin çıxarılması üçün modulun konfiqurasiyası aşağıdakı kimidir.

msf> use auxiliary/gather/android_stock_browser_uxss
msf> set TARGET_URLS //example.com
msf> run

Mənbə: xakep.ru