Tocmai am descoperit o nouă vulnerabilitate care afectează în general toate smartphone-urile cu Android. Acesta permite unui site web rău intenționat să obțină toate fișierele stocate pe cardul de memorie SD introdus în telefonul mobil. În plus, acest eșec de securitate lasă și alte date și fișiere stocate pe telefonul mobil neprotejate.
Expertul în securitate Thomas Cannon a descoperit această vulnerabilitate și explică pe blogul său că este rezultatul unui amestec de factori. În primul rând, browserul web Android nu notifică utilizatorul atunci când descarcă un fișier, îl face automat. Folosind un script Java, acest fișier poate fi deschis automat pentru ca browserul să fie afișat. Când un fișier HTML este deschis în acel context local, browserul Android execută scriptul fără a avertiza utilizatorul. În acest fel, scriptul Java poate citi conținutul fișierelor și al altor date. Apoi conținutulcare au citit scriptul Java pot fi redirecționați către un site web rău intenționat.
O limitare a acestui exploit este că trebuie să cunoașteți numele și calea fișierelor pe care doriți să le furați. Cu toate acestea, mai multe aplicații de stocare a datelor de pe cardul SD oferă aceste informații, iar fișierele de pe cardul SD (plus câteva pe telefon) sunt expuse. Thomas Cannon a contactat ofițerii de securitate Android, care lucrează pentru remedierea vulnerabilității în versiunea 2.3 (Gingerbread). Între timp, Cannon oferă câteva sfaturi pentru conectarea orificiului de securitate.
Primul lucru este să urmăriți dacă are loc o descărcare automată; chiar dacă nu există nicio notificare, aceasta nu se întâmplă complet în tăcere. De asemenea, utilizatorul poate dezactiva scripturile Java în configurația browserului său. Pe de altă parte, un browser precum Opera Mobile oferă o protecție suplimentară, deoarece avertizează înainte de a descărca un fișier. În plus, este mai ușor pentru o companie externă să lanseze imediat o actualizare de browser care corectează o nouă vulnerabilitate decât o face Google.
Alte știri despre… Android, Google, Securitate
