Práve som objavil novú zraniteľnosť, ktorá všeobecne ovplyvňuje všetky smartphony s Androidom. Umožňuje škodlivému webu získať všetky súbory uložené na pamäťovej karte SD vloženej do mobilného telefónu. Toto zlyhanie zabezpečenia navyše ponecháva nechránené aj ďalšie údaje a súbory uložené v mobilnom telefóne.
Bezpečnostný expert Thomas Cannon túto zraniteľnosť objavil a na svojom blogu vysvetľuje, že je výsledkom kombinácie faktorov. Najskôr webový prehliadač Android neinformuje používateľa o sťahovaní súboru, robí to automaticky. Pomocou skriptu Java je možné tento súbor automaticky otvoriť, aby sa zobrazil v prehliadači. Keď sa otvorí súbor HTML v tomto miestnom kontexte, prehliadač Android vykoná skript bez upozornenia používateľa. Týmto spôsobom môže skript Java čítať obsah súborov a ďalšie údaje. Potom obsahktorí čítali skript Java, môžu byť presmerovaní na škodlivú webovú stránku.
Jedným z obmedzení tohto zneužitia je, že potrebujete poznať názov a cestu k súborom, ktoré chcete ukradnúť. Niekoľko aplikácií na ukladanie dát na kartu SD však tieto informácie ponúka a súbory na karte SD (plus niekoľko v telefóne) sú vystavené. Thomas Cannon kontaktoval bezpečnostných pracovníkov systému Android, ktorí sa snažia túto chybu zabezpečenia vyriešiť vo verzii 2.3 (Gingerbread). Spoločnosť Cannon medzitým ponúka niekoľko tipov na pripojenie bezpečnostnej diery.
Prvá vec je sledovať, či dôjde k automatickému stiahnutiu; aj keď nie je k dispozícii žiadne upozornenie, nedeje sa to úplne potichu. Používateľ môže tiež deaktivovať skripty Java v nastaveniach svojho prehliadača. Na druhej strane, prehliadač ako Opera Mobile ponúka ďalšiu ochranu, pretože varuje pred stiahnutím súboru. Pre externú spoločnosť je navyše jednoduchšie okamžite vydať aktualizáciu prehľadávača, ktorá opravuje novú chybu zabezpečenia, ako to robí Google.
Ďalšie správy o… Android, Google, Zabezpečenie
