Android, ny Android-sårbarhed opdaget, der letter datatyveri

Opdagede netop en ny sårbarhed, der generelt påvirker alle smartphones med Android. Det giver et ondsindet websted mulighed for at få alle de filer, der er gemt på SD-hukommelseskortet, indsat i mobiltelefonen. Desuden efterlader denne sikkerhedsfejl også andre data og filer, der er gemt på mobiltelefonen, ubeskyttet.

Sikkerhedsekspert Thomas Cannon har opdaget denne sårbarhed og forklarer på sin blog, at det er resultatet af en blanding af faktorer. Først og fremmest underretter Android-browseren ikke brugeren, når han downloader en fil, den gør det automatisk. Ved hjælp af et Java-script kan denne fil åbnes automatisk, så browseren kan vises. Når en HTML-fil åbnes i den lokale sammenhæng, udfører Android- browseren scriptet uden at advare brugeren. På den måde kan Java-scriptet læse indholdet af filerne og andre data. Så indholdetsom har læst Java-scriptet, kan omdirigeres til et ondsindet websted.

En begrænsning ved denne udnyttelse er, at du har brug for at kende navnet og stien på de filer, du vil stjæle. Imidlertid tilbyder flere SD-kort datalagringsapplikationer disse oplysninger, og filerne på SD-kortet (plus et par på telefonen) er eksponeret. Thomas Cannon har kontaktet Android- sikkerhedsofficerer, der arbejder på at løse sårbarheden i version 2.3 (Gingerbread). I mellemtiden tilbyder Cannon flere tip til tilslutning af sikkerhedshullet.

Den første ting er at se, om der opstår automatisk download; selvom der ikke er nogen underretning, sker det ikke helt lydløst. Brugeren kan også deaktivere Java-scripts i konfigurationen af ​​sin browser. På den anden side tilbyder en browser som Opera Mobile yderligere beskyttelse, fordi den advarer, før den downloader en fil. Det er også lettere for et eksternt firma med det samme at frigive en browseropdatering, der lapper en ny sårbarhed end Google gør.

Andre nyheder om… Android, Google, sikkerhed