Току-що открих нова уязвимост, която обикновено засяга всички смартфони с Android. Той позволява на злонамерен уебсайт да получи всички файлове, съхранени на SD картата с памет, вмъкнати в мобилния телефон. В допълнение, тази повреда в защитата също така оставя незащитени други данни и файлове, съхранявани на мобилния телефон.
Експертът по сигурността Томас Кенън е открил тази уязвимост и обяснява в своя блог, че тя е резултат от комбинация от фактори. На първо място, уеб браузърът Android не уведомява потребителя при изтегляне на файл, а автоматично. Използвайки Java скрипт, този файл може да се отвори автоматично, за да се покаже браузърът. Когато HTML файл се отвори в този локален контекст, браузърът Android изпълнява скрипта, без да предупреждава потребителя. По този начин Java скриптът може да чете съдържанието на файловете и други данни. След това съдържаниетокоито са прочели скрипта на Java, могат да бъдат пренасочени към злонамерен уебсайт.
Едно ограничение на този експлойт е, че трябва да знаете името и пътя на файловете, които искате да откраднете. Въпреки това, няколко приложения за съхранение на данни на SD карта предлагат тази информация и файловете на SD картата (плюс няколко на телефона) са изложени. Томас Кенън се свърза с служители по сигурността на Android, които работят за отстраняване на уязвимостта във версия 2.3 (Gingerbread). Междувременно Cannon предлага няколко съвета за запушване на дупката за сигурност.
Първото нещо е да наблюдавате дали се случва автоматично изтегляне; дори да няма известие, това не се случва напълно безшумно. Също така потребителят може да деактивира Java скриптовете в конфигурацията на своя браузър. От друга страна, браузър като Opera Mobile предлага допълнителна защита, тъй като предупреждава, преди да изтеглите файл. Освен това е по-лесно за външна компания незабавно да пусне актуализация на браузъра, която закърпва нова уязвимост, отколкото Google.
Други новини за… Android, Google, сигурност
