کمیته رکن چهارم – آسیب پذیری موجود در مرورگرهای تلفن همراه اندروید می توانند برای اجرای کد از راه دور و دسترسی خواندن یا نوشتن دلخواه مورد سوء استفاده قرار بگیرند.
به گزارش کمیته رکن چهارم،یک محقق امنیتی مشکلات امنیتی را در مرورگرهای Dolphin و Mercury شناسایی کرده است. بنجامین واتسون آسیب پذیری هایی را در مرورگرهای تلفن همراه مبتنی بر اندروید افشاء کرد. هفته گذشته این محقق امنیتی گفت که آسیب پذیری ها می توانند برای اجرای کد از راه دور و یا دسترسی خواندن یا نوشتن مورد سوء استفاده قرار بگیرند.
مرورگر Dolphin که توسط کاربران اندروید مورد استفاده قرار می گیرد برای دستگاه های سیار و گوشی های هوشمند طراحی شده است و یکی از محبوب ترین مرورگرهای سیستم عامل اندروید است که بین ۵۰ تا ۱۰۰ میلیون کاربر در حال استفاده از آن می باشند.
با توجه به یافته های واتسون، هنگامی که تم های جدید دانلود می شود، فایل ها از طریق HTTP به عنوان یک فایل .zip منتقل می شود. به دلیل استفاده از اسکریپت ساده، تم های دانلود شده می تواند ردگیری شده و تم های مخرب و تغییر یافته تزریق شود. در نتیجه می تواند منجر به یک دسترسی نوشتن دلخواه در دایرکتوری داده Dolphin گردد.
خروجی .zip می تواند برای سوء استفاده از فرآیند از zip خارج شدن تم مرورگردستکاری شود. این محقق دریافت که یک کتابخانه خرابکار می تواند برای نوشتن مجدد کتابخانه اصلی مرورگر بارگذاری شود. پس از اعمال تم مخرب، اجرای کد دلخواه امکان پذیر می شود.
هم چنین این محقق دریافت که مرورگر Mercury نسبت به خواندن و نوشتن دلخواه فایل ها در دایرکتوری داده مرورگر آسیب پذیر است.
واتسون توصیه می کند که در هر دو مورد کاربران باید از دانلود و اعمال تم های جدید اجتناب کنند و هم چنین باید حدالامکان تا زمان انتشار اصلاحیه و برطرف شدن آسیب پذیری از مرورگرهای دیگری استفاده شود.
منبع:ZDNET
