شنبه ۲۶ مهر ۱۳۹۳ ساعت ۱۰:۵۴

با توجه به داده های جمع آوری شده از شرکت امنیتی تلفن همراه Lookout، حدود ۴۵ درصد از دستگاه های اندروید از مرورگری استفاده می کنند که حاوی دو آسیب پذیری امنیتی جدی است اما درصد تعداد کارابرنی که تحت تاثیر این آسیب پذیری ها قرار دارند در برخی کشورها بسیار بالاست.

این دو مساله امنیتی چند ماه پیش توسط محقق امنیتی با نام Rafay Baloch کشف شده است که توسط سایر محققان به عنوان یک مشکل نقض حریم خصوصی توصیف شده است. این مشکلات به مهاجم اجازه می دهد تا یک کرانه امنیتی اصلی را با عنوان SOP که در تمامی مرورگرها وجود دارد، دور زند.

SOP مانع تعامل بین اسکریپت های یک دامنه با داده های دامنه ی دیگر می شود. به عنوان مثال اسکریپت های در حال اجرا در صفحه ای که بر روی دامنه A میزبانی می شود نباید قادر باشد با محتوی موجود در همان صفحه که از دامنه B لود شده است تعامل کند.

بدون این محدودیت، مهاجمان می توانند صفحاتی ایجاد نمایند که فیس بوک، جیمیل یا تعداد دیگری از سایت های حساس را در یک iFrame مخفی لود کند و سپس کاربران را به منظور ارتباط ربایی نشست های آن ها به مشاهده این صفحات ترغیب نمایند.

آسیب پذیری های دور زدن SOP دستگاه های اندروید نسخه های پیش از ۴.۴ را تحت تاثیر قرار می دهند که بنا به داده های شرکت گوگل این نسخه ها بر روی ۷۵ درصد از تمامی دستگاه های اندروید که به طور فعال از فروشگاه گوگل پلی بازدید می کنند، نصب است.
اندروید ۴.۴ آسیب پذیری نیست زیرا به طور پیش فرض به جای مرورگر AOSP از مرورگر گوگل کروم استفاده می کند.

با توجه به داده ها، ۸۱ درصد از کاربران Lookout در ژاپن از نسخه آسیب پذیر مرورگر AOSP استفاده می کنند اما در امریکا تنها ۳۴ درصد از کاربران از نسخه آسیب پذیر استفاده می کنند. در اسپانیا ۷۳ درصد از کاربران به طور بالقوه تحت تاثیر این آسیب پذیری ها قرار دارند.

توصیه می شود تا کاربران اندروید به جای مرورگر AOSP از مرورگرهای کروم، فایرفاکس یا سایر مرورگرهایی که آسیب پذیر نمی باشند استفاده نمایند.