Właśnie odkryłem nową lukę, która ogólnie dotyczy wszystkich smartfonów z systemem Android. Pozwala złośliwej witrynie na pobranie wszystkich plików zapisanych na karcie pamięci SD w telefonie komórkowym. Ponadto ta awaria zabezpieczeń powoduje również, że inne dane i pliki przechowywane w telefonie komórkowym nie są chronione.
Ekspert ds. Bezpieczeństwa, Thomas Cannon, odkrył tę lukę i wyjaśnia na swoim blogu, że jest to wypadkowa wielu czynników. Przede wszystkim przeglądarka internetowa na Androida nie powiadamia użytkownika o pobieraniu pliku, robi to automatycznie. Za pomocą skryptu Java plik ten można otworzyć automatycznie, aby przeglądarka mogła go wyświetlić. Gdy plik HTML jest otwierany w tym kontekście lokalnym, przeglądarka systemu Android wykonuje skrypt bez ostrzegania użytkownika. W ten sposób skrypt Java może odczytać zawartość plików i inne dane. Następnie zawartośćktórzy przeczytali skrypt Java, mogą zostać przekierowani do złośliwej witryny.
Jednym z ograniczeń tego exploita jest to, że musisz znać nazwę i ścieżkę plików, które chcesz ukraść. Jednak kilka aplikacji do przechowywania danych na karcie SD udostępnia te informacje, a pliki na karcie SD (oraz kilka w telefonie) są narażone. Thomas Cannon skontaktował się z pracownikami ds. Bezpieczeństwa Androida, którzy pracują nad naprawieniem luki w wersji 2.3 (Gingerbread). W międzyczasie Cannon oferuje kilka wskazówek, jak zlikwidować lukę w zabezpieczeniach.
Pierwszą rzeczą jest sprawdzenie, czy nastąpi automatyczne pobieranie; nawet jeśli nie ma powiadomienia, nie dzieje się to całkowicie po cichu. Użytkownik może również wyłączyć skrypty Java w ustawieniach swojej przeglądarki. Z drugiej strony przeglądarka taka jak Opera Mobile oferuje dodatkową ochronę, ponieważ ostrzega przed pobraniem pliku. Poza tym firmie zewnętrznej jest łatwiej natychmiast udostępnić aktualizację przeglądarki, która naprawia nową lukę, niż robi to Google.
Inne wiadomości na temat… Androida, Google, bezpieczeństwa
