Только что обнаружена новая уязвимость, которая обычно затрагивает все смартфоны с Android. Он позволяет вредоносному веб-сайту получить все файлы, хранящиеся на карте памяти SD, вставленной в мобильный телефон. Кроме того, этот сбой безопасности также оставляет незащищенными другие данные и файлы, хранящиеся на мобильном телефоне.
Эксперт по безопасности Томас Кэннон обнаружил эту уязвимость и объясняет в своем блоге, что это результат действия нескольких факторов. Прежде всего, веб-браузер Android не уведомляет пользователя при загрузке файла, он делает это автоматически. Используя сценарий Java, этот файл можно открыть автоматически для отображения в браузере. Когда HTML-файл открывается в этом локальном контексте, браузер Android выполняет сценарий, не предупреждая пользователя. Таким образом, сценарий Java может читать содержимое файлов и другие данные. Тогда содержимоепрочитавшие Java-скрипт могут быть перенаправлены на вредоносный веб-сайт.
Одним из ограничений этого эксплойта является то, что вам необходимо знать имя и путь к файлам, которые вы хотите украсть. Однако несколько приложений для хранения данных SD-карты предлагают эту информацию, и файлы на SD-карте (плюс несколько на телефоне) доступны. Томас Кэннон связался с сотрудниками службы безопасности Android, которые работают над исправлением уязвимости в версии 2.3 (Gingerbread). Между тем, Cannon предлагает несколько советов, как закрыть дыру в безопасности.
Первое, что нужно сделать, это посмотреть, происходит ли автоматическая загрузка; даже если нет уведомления, это не происходит совершенно тихо. Также пользователь может деактивировать сценарии Java в конфигурации своего браузера. С другой стороны, такой браузер, как Opera Mobile, предлагает дополнительную защиту, так как предупреждает перед загрузкой файла. Кроме того, сторонней компании проще немедленно выпустить обновление браузера, исправляющее новую уязвимость, чем Google.
Другие новости о… Android, Google, безопасности
