[youtube]http://youtu.be/_t-W50ywOpc[/youtube]
Sistemele de operare pentru terminale mobile sunt departe de a fi perfecte, iar un nou studiu al celor de la Microsoft Research si universitatea din Indiana demonstreaza cat de usor pot fi furate date din terminalele noastre. Same origin policy este sistemul pe care iOS si Android OS nu il au implementat corect, asa ca prin intermediul unor script-uri implementate in aplicatiile din App Store si Google Play, hackerii pot fura informatii si le pot trimite in orice alta aplicatie doresc.
The problem here is that iOS and Android do not have this origin-based protection to regulate the interactions between those apps and between an app and another app’s Web content. As a result, we show that origins can be crossed and the same XSS and CSRF can happen.
Practic cercetatorii au reusit, cu ajutorul unui link si a unor script-uri, sa preia informatii din aplicatia Google Plus, victima trebuind sa acceseze doar un link special facut de catre hackeri. Dupa accesarea link-ului, un script a implicat aplicatia PlainText care a trimis in sistem o comanda ce a transferat documente si alte informatii confidentiale catre un cont Dropbox al cercetatorilor. Atacuri de tipul XSS si CSRF au fost implicate in intregul proces, iar aproape orice aplicatii ale iOS pot fi exploatate.
Intreaga problema are la baza compania Apple care nu a implementat suport de baza pentru same origin policy, insa probabil un studiu de acest gen ii va convinge pe cei din Cupertino ca nu procedeaza chiar atat de corect.
