Q
quercus
Gast
Wieder gibt es Sicherheitslöcher bei Android selbst. Diesesmal befindet sich im Webkit-Browser von Android ein Sicherheitsloch, das für gefährliche Angriffe verwendet werden kann.
Hier gehts zur News
Hier gehts zur News
Folge dem Video um zu sehen, wie unsere Website als Web-App auf dem Startbildschirm installiert werden kann.
Anmerkung: Diese Funktion erfordert derzeit den Zugriff auf die Seite über den integrierten Safari-Browser.
"Wenn ein Angreifer Besitzer eines Android-Geräts dazu bringt, eine entsprechend präparierte Webseite zu öffnen, kann dieser Schadsoftware über den Android Market installieren, ohne dass der Angegriffene das bemerkt."
geminga schrieb:
Welches der DAU anschließend mit "Aj wos isn des?" anklickt und den Angriff auf seinen Smartphone und seine Intelligenz damit vollendet...
Wahrscheinlich wird die normale Installationsroutine sinnvollerweise umgangen,sodass keine Meldung erscheint. Wahrscheinlich wird das Paket dann direkt in die App-Directory gezogen.Thyrion schrieb:Mir fallen da spontan zwei Fragen ein:
1) Wenn ich über den Web-Market installiere, erscheint ja auf dem Handy a) der Download und b) danach die Meldung, dass die App erfolgreich installiert wurde. Ist das bei diesem Exploit denn nicht so? Das wäre doch dann schonmal ein erstes Signal, dass was nicht stimmt. Mal abgesehen davon, dass man sich auch im Web-Market anmelden muss (ob das aber vom Handy aus automatisch geht, habe ich nicht probiert)
Thyrion schrieb:2) Reicht für diesen Exploit (theoretisch) auch ein Werbebanner aus (über Drive-By-Download)? Das wäre ja dann etwas, was das ganze gefährlich machen würde. Eine infizierte App installieren ist ja schon etwas, wo man aufpassen könnte.
By exploiting this vulnerability a malicious, non-privileged application
may
inject JavaScript code into the context of any domain; therefore, this
vulnerability has the same implications as global XSS, albeit from an
installed
application rather than another website. Additionally, an application may
install itself as a service, in order to inject JavaScript code from time
to
time into the currently opened tab, thus completely intercepting the
user's
browsing experience.