Právě jsem objevil novou chybu zabezpečení, která obecně ovlivňuje všechny smartphony s Androidem. Umožňuje škodlivému webu získat všechny soubory uložené na paměťové kartě SD vložené do mobilního telefonu. Toto selhání zabezpečení navíc nechává nechráněná další data a soubory uložené v mobilním telefonu.
Bezpečnostní expert Thomas Cannon tuto chybu zabezpečení objevil a na svém blogu vysvětluje, že je výsledkem kombinace faktorů. Nejprve webový prohlížeč Android uživatele neupozorňuje na stahování souboru, dělá to automaticky. Pomocí skriptu Java lze tento soubor automaticky otevřít, aby se zobrazil v prohlížeči. Když je soubor HTML otevřen v tomto místním kontextu, prohlížeč Android provede skript bez upozornění uživatele. Tímto způsobem může skript Java číst obsah souborů a další data. Pak obsahkteří si přečetli skript Java, mohou být přesměrováni na škodlivý web.
Jedním z omezení tohoto zneužití je, že potřebujete znát název a cestu k souborům, které chcete ukrást. Některé aplikace pro ukládání dat na SD kartu však tyto informace nabízejí a soubory na SD kartě (plus několik v telefonu) jsou vystaveny. Thomas Cannon kontaktoval bezpečnostní pracovníky systému Android, kteří pracují na vyřešení této chyby zabezpečení ve verzi 2.3 (Gingerbread). Cannon mezitím nabízí několik tipů pro připojení bezpečnostní díry.
První věcí je sledovat, zda nedojde k automatickému stažení; i když není žádné oznámení, neděje se to úplně tiše. Uživatel může také skripty Java deaktivovat v nastavení svého prohlížeče. Na druhou stranu prohlížeč jako Opera Mobile nabízí další ochranu, protože varuje před stažením souboru. Kromě toho je pro externí společnost snazší okamžitě vydat aktualizaci prohlížeče, která opravuje novou chybu zabezpečení, než Google.
Další novinky o… Android, Google, Zabezpečení
