Upravo sam otkrio novu ranjivost koja općenito utječe na sve pametne telefone s Androidom. Omogućuje zlonamjernom web mjestu da sve datoteke pohranjene na SD memorijskoj kartici umetne u mobilni telefon. Uz to, ovaj sigurnosni neuspjeh također ostavlja ostale podatke i datoteke pohranjene na mobilnom telefonu nezaštićenima.
Sigurnosni stručnjak Thomas Cannon otkrio je ovu ranjivost i na svom blogu objašnjava da je rezultat mješavine čimbenika. Prije svega, Android web preglednik ne obavještava korisnika prilikom preuzimanja datoteke, već automatski. Pomoću Java skripte, ova se datoteka može automatski otvoriti za prikaz preglednika. Kada se HTML datoteka otvori u tom lokalnom kontekstu, Android preglednik izvršava skriptu bez upozorenja korisnika. Na taj način Java skripta može čitati sadržaj datoteka i druge podatke. Zatim sadržajkoji su pročitali Java skriptu mogu se preusmjeriti na zlonamjernu web stranicu.
Jedno ograničenje ovog iskorištavanja jest da morate znati ime i put datoteka koje želite ukrasti. Međutim, nekoliko aplikacija za pohranu podataka na SD kartici nudi te podatke, a datoteke na SD kartici (plus nekoliko na telefonu) su izložene. Thomas Cannon kontaktirao je sigurnosne službenike Androida koji rade na otklanjanju ranjivosti u verziji 2.3 (Gingerbread). U međuvremenu, Cannon nudi nekoliko savjeta za zatvaranje sigurnosne rupe.
Prvo je paziti ako se dogodi automatsko preuzimanje; čak i ako nema obavijesti, to se ne događa potpuno tiho. Također korisnik može deaktivirati Java skripte u konfiguraciji svog preglednika. S druge strane, preglednik poput Opera Mobile nudi dodatnu zaštitu jer upozorava prije preuzimanja datoteke. Osim toga, vanjskoj je tvrtki lakše odmah objaviti ažuriranje preglednika koje popravlja novu ranjivost nego što to čini Google.
Ostale vijesti o… Androidu, Googleu, sigurnosti
