Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

XSS az Android Market-en

2011.03.08. 19:21 | buherator | 6 komment

 Mire nem jó egy buta böngészőhiba! Jon Oberheide egy olyan XSS-t fedezett fel az Android Marketen, amit bármilyen script kiddie megirígyelne: ha beírsz egy tetszőleges szkriptet az alkalmazásod leírásába, az bizony lefut. 

A dolog azért különösen gyönyörű, mert a Market lehetőséget biztosít az alkalmazások weben keresztüli telepítésére, így egy elegáns AJAX hívással máris telepíthető a látogató androidos eszközére az app, erről pedig csak egy nem túl erélyes figyelmeztetést kap a júzer. 

És bár ilyenkor az alkalmazás még nem indul el, a telepítéskor beköthetők különöző eseménykezelők, amik automatikusan elindíthatják a potenciálisan rosszindulatú kódot. Ez egyik esemény amire rá lehet akaszkodni, az "új alkalmazás telepítése", ami éppen megfelelő lesz, hiszen az előző XSS-sel nem csak egy, hanem akár két appot is telepíthetünk, így a második alkalmazás lényegében beindíthatja az első futását. 

De történet epikus része ezzel még el sem kezdődött, tudni kell ugyanis, hogy Oberheide azonnal jelentette a problémát a Google-nek, ahol javították is azt. A felfedező azonban "túl gyorsan" cselekedett, mivel a feltárt hibával indulni lehetett volna a Pwn2Own versenyen, melynek győztese 15.000$-t vihet haza egy Android feltöréséért, márpedig Oberheide exploitja nagy megbízhatóságú és nagyjából verziófüggetlen volt, már ahogy az a webes hibáknál lenni szokott. Vígasztalásul a Google az általános hibavadász programja által meghatározott 1337$-t azért kiutalta a becsületes bejelentőnek...

a bejegyzés egy kis kísérletet tartalmaz, remélem magára veszi, akinek inge

Címkék: android xss android market pwn2own

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

domi007 2011.03.08. 19:41:23

Rámentem erre a bejegyzésre Androidos telefon böngészőjével, nem történt semmi, milyen kísérletet tartalmaz az oldal? :)

buherator · http://buhera.blog.hu 2011.03.08. 19:45:17

@domi007: Nézd meg a forrást, rá fogsz jönni! A vicces az, hogy majdnem tökéletesen működik :)

kispaci_S80 2011.03.09. 00:44:19

Hála a jó égnek myS*c-re nem jön át a script ;-)

buherator · http://buhera.blog.hu 2011.03.09. 08:28:54

@kispaci_S80: Átment az, csak közben észbe kaptak, és javítottak, egy linket persze basztak kirakni :P

kispaci_S80 2011.03.09. 08:39:24

lószart kaptak....izé kaptam észbe. Időm nem volt :)

Lekértem a MS frissítő keddet is nem jött le, direkt sasoltam.

Ezt a cikket kétszer publikáltad? (lehet az elsőben megjelent)

kispaci_S80 2011.03.09. 09:00:44

@buherator: mél ment gmail-es kukacodra
süti beállítások módosítása