Щойно виявив нову вразливість, яка, як правило, вражає всі смартфони з Android. Це дозволяє зловмисному веб-сайту отримувати всі файли, що зберігаються на карті пам'яті SD, вставленими в мобільний телефон. Крім того, ця помилка безпеки також залишає незахищеними інші дані та файли, що зберігаються на мобільному телефоні.
Експерт з питань безпеки Томас Кеннон виявив цю вразливість і у своєму блозі пояснює, що це результат сукупності факторів. Перш за все, веб-браузер Android не повідомляє користувача про завантаження файлу, він робить це автоматично. За допомогою сценарію Java цей файл можна автоматично відкрити для відображення браузером. Коли файл HTML відкривається в цьому локальному контексті, браузер Android виконує сценарій, не попереджаючи користувача. Таким чином, сценарій Java може читати вміст файлів та інші дані. Потім вмістхто прочитав сценарій Java, може бути перенаправлений на шкідливий веб-сайт.
Одне обмеження цієї експлуатації полягає в тому, що вам потрібно знати назву та шлях до файлів, які ви хочете викрасти. Однак кілька програм для зберігання даних на SD-карті пропонують цю інформацію, і файли на SD-карті (плюс кілька на телефоні) відкриваються. Томас Кеннон зв’язався з працівниками служби безпеки Android, які працюють над виправленням уразливості у версії 2.3 (Gingerbread). Тим часом Cannon пропонує кілька порад щодо усунення отвору в безпеці.
Перше, що слід, - спостерігати, чи відбувається автоматичне завантаження; навіть якщо повідомлення не надходить, це відбувається не зовсім тихо. Користувач також може вимкнути сценарії Java у налаштуваннях свого браузера. З іншого боку, такий браузер, як Opera Mobile, пропонує додатковий захист, оскільки попереджає перед завантаженням файлу. Крім того, зовнішній компанії простіше негайно випустити оновлення браузера, яке виправляє нову вразливість, ніж Google.
Інші новини про… Android, Google, Безпека
