Google verre peut être piraté en utilisant javascript
Une faille de sécurité dans Android qui permet aux pirates d'exécuter du code arbitraire (ie leur propre code) a été testé sur Google verre et trouvé présent. Remonte à la dernière partie de l'année dernière la vulnérabilité réelle lorsque les chercheurs en sécurité ont découvert que les applications compilées avec l'API Android 4.1 Jelly Bean peut exploiter un bug en javascript. La fonction en question est addjavascriptInterface (). Il a été conçu pour permettre à un code Java pour être consulté à partir de javascript, mais avec une portée limitée. Toutefois, dans le niveau de l'API 16 et ci-dessous, il est cassé. Pour l'exploiter, une application juste besoin de créer une WebView puis exécuter du code qui accède à la fonction javascript cassée.
Documentation de l'API officielle de Google pour addjavascriptInterface () a une note qui reconnaît que pour les applications compilées contre le 4.1 SDK Android un attaquant peut manipuler l'application hôte de manière inattendue, l'exécution de code Java avec les autorisations de l'application hôte.
Récemment, le addjavascriptInterface () module de test pour Metasploit, le cadre populaire tests de vulnérabilité open-source, a été mis à jour pour permettre l'accès shell sur certaines versions du navigateur de Android ainsi que sur les navigateurs dérivés de Baidu et QQ. Dans les commentaires pour le module Metasploit publié récemment, Joshua J. Drake noté que «l'exécution de code fonctionne sur mon verre Google XE12 trop."
Le problème est que sur Android de nombreuses applications gratuites utilisent une WebView pour charger le contenu HTML (par exemple, le site des développeurs, des instructions et même la publicité) et si ce contenu HTML peut être modifié d'une certaine manière en utilisant une attaque man-in-the-middle ou en utilisant javascript malveillant dans un annonce alors la WebView peut être contraint d'exécuter le code de l'attaquant. Théoriquement, la même chose peut arriver sur Google Glass.
Selon un rapport publié vers la fin de l'année dernière par la société de sécurité MWR Labs, un grand nombre de ce SDK utilisé par les réseaux de publicité sont vulnérables à l'exploitation.
[quote qtext = "Nous avons analysé un grand nombre de réseau de publicité SDK et a constaté que beaucoup de ces mettre en œuvre des ponts qui sont vulnérables à l'exploitation. Certains réseau de publicité de SDK obtenue à partir des réseaux de publicité directement ont été trouvés pour ne pas être vulnérables (dans leur plus les versions récentes). Toutefois, un grand nombre d'applications sur le «Google Play Store» ont été trouvés à l'aide d'anciennes versions du SDK, qui sont vulnérables ". qperson = qSOURCE "MWR Labs" = "" qposition = "center"]
Il serait intéressant de voir une analyse similaire pour Google Glass.
Lorsque vous regardez une superproduction hollywoodienne vous pouvez parfois avoir raillé quelle facilité les pirates ou les agents du gouvernement peuvent pirater les smartphones, mais en fait, il pourrait être plus facile que vous le pensez!
-
Grande majorité des appareils Android sont vulnérables à 'Stagefright' exploit qui peuvent être exécutées via un message texte, selon des chercheurs -
185 millions d'utilisateurs d'Android vulnérables à des attaques man-in-the-middle -
Android bug qui affecte 99% des appareils détaillé -
«Critique» la vulnérabilité Flash Découvert pour les appareils Android -
CyanogenMod 10.1.2 inclut fixer pour la deuxième "clé maître" vulnérabilité Android -
Google ajoute sept nouvelles fonctionnalités de sécurité pour Android
Votre téléphone a heartbleed? Détecteur application de Lookout peut dire Après la découverte de cette semaine de la grave bug heartbleed dans OpenSSL, mobiles société de sécurité Lookout a publié un outil Android qui aidera les utilisateurs détectent la présence de la faille de sécurité sur leurs appareils…
Google Détails correctifs contenus dans le Septembre ronde des mises à jour de sécurité à des dispositifs Nexus et PSBA Cette semaine, le dernier lot de over-the-air mises à jour de sécurité commencé à déployer des dispositifs Nexus, plus passer sous la version LMY48M. Google a également publié les produits en ligne la forme d'images d'usine. La société a…
Google lance WebView Beta canal dans le Play Store Vous êtes probablement plus conscients de WebView après la récente poussière au-dessus les questions de sécurité dans les anciennes versions d'Android. WebView est un outil les développeurs peuvent utiliser pour afficher du contenu web dans…
Google reconnaît WebView liés App Et Crashing de périphériques, affirme que la nouvelle version devrait Fix It Une des améliorations les moins glamour à Android 5.0 Lollipop est le passage à la mise à jour WebView via le Play Store plutôt que seulement avec des mises à jour du système. WebView est le composant qui permet aux applications rendent les…
![[Mise à jour: Samsung déploie une Fix] PSA: Flaw clavier de sécurité, sur la «600 millions +" Téléphones Samsung a probablement rien à vous soucier de](https://androidfran.ru/uploads/blockpro/100x100/2015-11/100x100_crop_[update-samsung-rolling-out-a-fix-psa-keyboard_1.jpg){kind=avatar}
[Mise à jour: Samsung déploie une Fix] PSA: Flaw clavier de sécurité, sur la «600 millions +" Téléphones Samsung a probablement rien à vous soucier de Mettre à jour 1: 17/06/2015 13:14 PDTSwiftKey dispose d'un billet de blog ce matin, qui comprend le présent communiqué de Samsung: Samsung prend les menaces de sécurité émergentes très au sérieux. Nous sommes conscients de la question…
Navigateur Android faille de sécurité pourrait affecter 40% des utilisateurs d'Android Une vulnérabilité a été repéré dans le navigateur Android basé sur WebKit open-source, qui ouvre à l'application d'un certain nombre d'exploits javascript - à la lecture des cookies et mots de passe, à l'envoi d'e-mails sur votre nom.…
Bug cryptographique dans Android permet de créer des applications pirates malveillants avec accès au système Les chercheurs en sécurité ont trouvé un bogue dans les applications qui leur permet de créer des applications Android malveillantes qui semblent être authentique avec les signatures numériques correctes. En informatique, les signatures…
EZ-2-Utiliser module fournit un seul clic l'exploitation de certains téléphones Android Il ya un bug de sécurité dans les applications que les fabricants de périphériques devraient connaître. Ce bug a été corrigé par Google dans les Android version 4.2 JellyBean, de sorte que nous ne devons pas céder à la panique. Mais si…
Google répond à des préoccupations de sécurité WebView, fait des recommandations sur la façon de rester en sécurité Si vous êtes toujours en attente pour Google de faire quelque chose au sujet de la Vulnérabilités WebView dans les versions Android âgés, vous ne pouvez pas être un fan de leur réponse officielle à la question. Google dit qu'ils ont déjà…
Donner un sens à la dernière mise à jour de sécurité peur Android TheHackerNewsCertains des plus grands publications du monde, y compris le Wall Street Journal et Forbes exécutez une histoire sur la façon dont Google est plus corriger les bugs de sécurité dans les anciennes versions d'Android. Le prix pour le…
Nouveau Stagefright exploiter met plus de 1 milliard d'appareils Android à risque Trac est devenu le cadeau qui continue à donner. Cependant, ce ne sont pas des cadeaux amusants comme des poneys ou des figurines Turboman plutôt ce sont le genre effrayant qui exposent nos appareils Android aux menaces extérieures. Lorsque le…
Cabinet de sécurité découvre une autre vulnérabilité Android de grande envergure Une équipe d'experts en sécurité mobiles à la recherche cabinet Zimperium ont récemment découvert un exploit dans Android qui pourraient permettre à des pirates d'avoir accès à votre appareil mobile beaucoup plus facile que vous ne le…
Par SMS attaque DOS peut causer des dispositifs Nexus de redémarrer ou de perdre la connexion de données Le chercheur en sécurité Bogdan Alecu découvert une vulnérabilité qui expose appareils Nexus à des attaques par déni de service basé sur un type spécial de SMS. Comme la première fois par PC World, l'attaque est basée sur SMS Flash, aussi…
Google Réponse officielle questions de préoccupations sur Jelly Bean WebView sécurité Vous avez sans doute remarqué un certain nombre d'histoires récentes (comme celui-ci) prétendant Google abandonnait un énorme partie des utilisateurs d'Android plutôt que de fixer des trous de sécurité de WebView. Il est exactement le genre…
Google promet une mise à jour de sécurité pour les périphériques Stagefright Nexus dès la semaine prochaine Donc, vous pourriez avoir entendu parler de la vulnérabilité Stagefright qui était publié hier. Alors qu'il n'y a aucune preuve d'un hack largement utilisé, le potentiel de MMS attaques malveillantes VIA Android intégré dans le système de…