Уязвимость Android позволяет обходить механизм SOP

В операционной системе Android, а именно в используемом по умолчанию браузере, обнаружена уязвимость, которая представляет серьезную угрозу безопасности приватных данных пользователя. С помощью достаточно простой инъекции кода JavaScript злоумышленник может получить доступ к куки-файлам, паролям, а также отслеживать ввод данных с клавиатуры.

Как подчеркнул в своем блоге эксперт Rapid7 Тод Бердсли (Tod Beardsley), уязвимость CVE-2014-6041 — настоящая «катастрофа для приватности» (privacy disaster), поскольку задействует SOP (Same Origin Policy), которые не позволяют одному веб-сайту получать доступ к контенту другого. Эксплуатируя эту уязвимость, можно игнорировать политики, предоставляя полный доступ к содержимому браузера.

Компания Google уже исправила данную уязвимость, тем не менее, проблема безопасности пользователей не решена. Дело в том, что уязвимый браузер используется по умолчанию в Android до версии 4.2, и с ним могут работать до 75% владельцев аппаратов на старых версиях мобильной ОС. Особенно высоки риски для владельцев недорогих аппаратов, которые, как правило, используют установленные по умолчанию программы.