Android, új android biztonsági rést fedeztek fel, amely megkönnyíti az adatlopást

Csak felfedeztek egy új biztonsági rést, amely általában érinti az összes okostelefonok az Android. Lehetővé teszi egy rosszindulatú webhely számára, hogy az SD memóriakártyán tárolt összes fájlt betegye a mobiltelefonba. Ezenkívül ez a biztonsági hiba a mobiltelefonon tárolt egyéb adatokat és fájlokat is védelem nélkül hagyja.

Thomas Cannon biztonsági szakértő felfedezte ezt a sebezhetőséget, és blogján elmagyarázza, hogy ez tényezők keveredésének eredménye. Először is, az Android böngésző nem értesíti a felhasználót egy fájl letöltésekor, hanem automatikusan. Java szkript használatával ez a fájl automatikusan megnyitható a böngésző számára. Ha HTML fájlt nyit meg a helyi kontextusban, az Android böngésző a felhasználó figyelmeztetése nélkül végrehajtja a parancsfájlt. Így a Java szkript el tudja olvasni a fájlok tartalmát és egyéb adatokat. Aztán a tartalmátakik elolvasták a Java szkriptet, átirányíthatók egy rosszindulatú webhelyre.

A kihasználás egyik korlátja, hogy ismernie kell az ellopni kívánt fájlok nevét és elérési útját. Számos SD-kártya adattároló alkalmazás azonban felajánlja ezeket az információkat, és az SD-kártyán lévő fájlok (plusz néhány a telefonon) ki vannak téve. Thomas Cannon felvette a kapcsolatot az Android biztonsági tisztjeivel, akik azon dolgoznak, hogy kijavítsák a biztonsági rést a 2.3-as verzióban (Mézeskalács). Eközben a Cannon számos tippet kínál a biztonsági lyuk betöméséhez.

Az első dolog az, hogy vigyázzon, hogy történik-e bármilyen automatikus letöltés; még ha nincs is értesítés, az sem történik teljesen csendben. A felhasználó a böngészőjének beállításain belül is letilthatja a Java szkripteket. Másrészt egy olyan böngésző, mint az Opera Mobile, további védelmet nyújt, mert figyelmeztet a fájl letöltése előtt. Ezenkívül egy külső vállalat könnyebb azonnal közzétenni egy böngészőfrissítést, amely új biztonsági rést javít, mint a Google.

Egyéb hírek az… Androidról, Google-ról, Biztonságról