Независимые специалисты по информационным технологиям говорят о выявлении архитектурной уязвимости в операционных системах Android и Apple iOS, через которые потенциальные хакеры могут похищать закрытые пользовательские данные, такие как реквизиты электронной почты, сервисов хранения данных и других.
Как пояснили открыватели метода, обе операционных системы исходят из того, что браузерные файлы-cookie, файлы документов и другой ограниченный контент, исходящий из одного домена может быть без каких-либо лимитов доступен скриптам с того же домена, но контролируемым другими людьми. В итоге, это приводит к тому, что при определенных обстоятельствах потенциальные хакеры через cookie или веб-скрипты получают доступ к пользовательской информации при получении ими целевого файла.
Как говорят специалисты, обе ОС используют схожую систему, так называемую same-origin policy, представляющую собой фундаментальный механизм обеспечения безопасности, который впервые был реализован в настольных браузерах. Интересно отметить, что уязвимость в Android и iOS обнаружили специалисты из Microsoft Research при поддержке программистов из американского Университета Индианы.
Для демонстрации уязвимости они провели несколько так называемых XSS- (Cross-Site Scripting) и CSFR-атак (Cross-Site Request Forgery) для загрузки пользовательской информации на удаленный сайт с мобильных устройств. По словам авторов метода, наиболее опасным моментом атаки является то, что она работает сразу в двух популярных ОС и требует наличия всего одной ссылки на cookie-файл. «Проблема в том, что ни в Android, ни в iOS нет защиты origin-based, чтобы управлять взаимодействием между контентом разных приложений, обращающихся через совместные идентификаторы», — говорит Руи Вонг, один из авторов концепции атаки.
Источник: cybersecurity.ru
