Μόλις ανακάλυψε μια νέα ευπάθεια που επηρεάζει γενικά όλα τα smartphone με Android. Επιτρέπει σε έναν κακόβουλο ιστότοπο να αποθηκεύει όλα τα αρχεία που είναι αποθηκευμένα στην κάρτα μνήμης SD στο κινητό τηλέφωνο. Επιπλέον, αυτή η αποτυχία ασφαλείας αφήνει και άλλα δεδομένα και αρχεία που είναι αποθηκευμένα στο κινητό τηλέφωνο χωρίς προστασία.
Ο ειδικός ασφαλείας Thomas Cannon ανακάλυψε αυτή την ευπάθεια και εξηγεί στο ιστολόγιό του ότι είναι το αποτέλεσμα ενός συνδυασμού παραγόντων. Πρώτα απ 'όλα, το πρόγραμμα περιήγησης ιστού Android δεν ειδοποιεί τον χρήστη κατά τη λήψη ενός αρχείου, το κάνει αυτόματα. Χρησιμοποιώντας ένα σενάριο Java, αυτό το αρχείο μπορεί να ανοίξει αυτόματα για προβολή του προγράμματος περιήγησης. Όταν ένα αρχείο HTML ανοίγει σε αυτό το τοπικό περιβάλλον, το πρόγραμμα περιήγησης Android εκτελεί το σενάριο χωρίς να ειδοποιεί τον χρήστη. Με αυτόν τον τρόπο, το σενάριο Java μπορεί να διαβάσει το περιεχόμενο των αρχείων και άλλα δεδομένα. Τότε το περιεχόμενοπου έχουν διαβάσει το Java script ενδέχεται να ανακατευθυνθούν σε κακόβουλο ιστότοπο.
Ένας περιορισμός αυτής της εκμετάλλευσης είναι ότι πρέπει να γνωρίζετε το όνομα και τη διαδρομή των αρχείων που θέλετε να κλέψετε. Ωστόσο, αρκετές εφαρμογές αποθήκευσης δεδομένων κάρτας SD προσφέρουν αυτές τις πληροφορίες και τα αρχεία στην κάρτα SD (συν μερικά στο τηλέφωνο) είναι εκτεθειμένα. Ο Thomas Cannon έχει επικοινωνήσει με αξιωματικούς ασφαλείας Android, οι οποίοι εργάζονται για να διορθώσουν την ευπάθεια στην έκδοση 2.3 (Gingerbread). Εν τω μεταξύ, το Cannon προσφέρει πολλές συμβουλές για τη σύνδεση της τρύπας ασφαλείας.
Το πρώτο πράγμα είναι να προσέξετε εάν πραγματοποιηθεί αυτόματη λήψη. ακόμα και αν δεν υπάρχει ειδοποίηση, δεν συμβαίνει εντελώς σιωπηλά. Ο χρήστης μπορεί επίσης να απενεργοποιήσει τα σενάρια Java στις ρυθμίσεις του προγράμματος περιήγησής τους. Από την άλλη πλευρά, ένα πρόγραμμα περιήγησης όπως το Opera Mobile προσφέρει επιπλέον προστασία, επειδή προειδοποιεί πριν από τη λήψη ενός αρχείου. Επίσης, είναι πιο εύκολο για μια εξωτερική εταιρεία να κυκλοφορήσει αμέσως μια ενημέρωση προγράμματος περιήγησης που διορθώνει μια νέα ευπάθεια από ό, τι η Google.
Άλλα νέα σχετικά με… Android, Google, Ασφάλεια
