近日,来自IT安全解决方案供应商Rapid7公司的网络安全研究人员Dhiraj Mishra发现三星手机浏览器存在一个高危漏洞,该漏洞被标识为CNNVD-201712-721(CVE-2017-17692),允许攻击者在受害者访问恶意网站后窃取密码或cookie会话等重要信息。
根据Mishra的说法,这属于一个 “同源策略”(SOP)漏洞,存在于三星手机浏览器5.4.02.3版本或更早版本之中,而这些浏览器被预装在数亿台三星Android设备上。
同源策略(Same-Origin Policy,SOP)由美国计算机服务公司网景通信公司(Netscape Communications Corporation)提出的一种安全策略。虽然SOP只是一个规范,并不强制要求,但现在几乎所有支持JavaScript的浏览器都会使用它。
SOP旨在确保来自同一网站的网页在可以互动的同时,还能够防止被不相关的网站干扰。简单来说,它可以确保来自一个源的JavaScript代码不会访问另一个源网站的属性。相反,如果缺少了SOP,则浏览器的正常功能可能都会受到影响。
Mishra解释说:“当攻击者通过三星手机浏览器执行一个Javascript操作,打开一个给定域名(比如google.com)的新标签时,该Javascript代码可以在事后随意重写页面内容。这是浏览器设计中的一个禁忌,因为这意味着攻击者可以通过Javascript 违反SOP,并且可以从其控制的站点直接执行Javascript操作,进而在目标站点采取后续行动。”
从本质上讲,如果受害者在访问攻击者控制的网页后,攻击者不仅可以将自定义的Javascript代码插入到任何域名之中,甚至还可以获取会话cookie的副本或劫持会话,并以受害者的名义读写Webmail(基于万维网的电子邮件服务)。
在发现该漏洞后,Mishra向三星公司通报了关于该漏洞的技术细节。三星公司方面承认了漏洞的存在,并表示,补丁将在即将推出的Galaxy Note 8中预装,针对浏览器应用程序的更新将于10月份通过App Store的更新而进行。