Специалисты из Университета Индианы совместно с представителями Microsoft Research недавно опубликовали документ, в котором подробно описан риск возможной атаки на самые популярные в настоящее время мобильные операционные системы — iOS и Android. К файлам cookie, документам и иному контенту одного домена возможно получить доступ скриптами с этого же домена, но контролируемым потенциальными злоумышленниками. Проще говоря, хакеры имеют возможность получить доступ к важным файлам устройства при помощи вэб-скриптов и cookie.

Настольные версии браузеров применяют политику защиты, препятствующую прямому доступу из одного домена к контенту, содержащемся в другом домене (same-origin policy). Мобильные ОС не имеют подобной защиты обмена данными между различными приложениями, а также между приложениями и вэб-сайтами. Так называемые cross-origin атаки являются уникальными для мобильных платформ, а их последствия могут быть самыми неприятными. К примеру, разработав определенные алгоритмы управления мобильными межсайтовыми скриптами и подделав некоторые запросы, можно получить доступ к учетным записям социальных сетей или облачных хранилищ.

Такое открытие, в свою очередь, ставит под сомнение надежность защиты вэб-ресурсов всех приложений обеих мобильных операционных систем. В целях демонстрации обнаруженной уязвимости было проведено несколько XSS- (Cross-Site Scripting) и CSFR-атак (Cross-Site Request Forgery) на популярные мобильные приложения Facebook и DropBox. Исследователи обнаружили, что выявленная уязвимость может быть использована в целях кражи пользовательских учетных данных и другой конфиденциальной информации. Они также отметили, что устранение проблем безопасности будет затруднительным для разработчиков приложений, а защита от подобных атак должна поддерживаться на уровне ОС.
Источник