Aggiornato il: 12-02-2021 22:34
Il browser di default di Android, secondo una notizia trapelata all’inizio del mese, sarebbe affetto da una falla informatica di sicurezza piuttosto grave: Android Browser, il browser open source (e WebKit-based) possiede una porzione di codice che potrebbe essere sfruttata per effettuare XSS (cioè esecuzione di codice remoto arbitrario) via Javascript di siti esterni. La notizia interessa tutti coloro, e sono numerosi, i quali utilizzino come browser di default quello delle vecchie versioni di Android (precedenti alla 4.4): il bug permette, mediante il browser di default, ad un sito progettato maliziosamente di rubare password degli utenti, impadronirsi dei cookie, leggere i contenuti digitati dall’utente, impersonificare l’account della vittima e molto altro. L’errore sarebbe dovuto ad una cattiva intepretazione della direttiva di sicurezza denominata Same Origin Policy (SOP), che stabilisce che qualsiasi script possa leggere o scrivere dati (come gli elementi di una pagina, oppure i cookie) che provengano dalla stessa origine dello script stesso, stabilendo la sua provenienza mediante una combinazione di protocollo, dominio e numero di porta.
Per risolvere il problema, che è improbabile che venga patchato visto che è un prodotto abbandonato da Google, l’unica possibilità sembra quella di come Firefox o Opera, che quantomeno vengono aggiornati regolarmente.
Fonte: ArsTechnica
Photo by ssenoo
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
