Tikko atklāja jaunu ievainojamību, kas parasti ietekmē visus viedtālruņus ar Android. Tas ļauj ļaunprātīgai vietnei iegūt visus SD atmiņas kartē saglabātos failus, kas ievietoti mobilajā tālrunī. Turklāt šī drošības kļūme atstāj neaizsargātus arī citus mobilajā tālrunī saglabātos datus un failus.
Drošības eksperts Tomass Kanons ir atklājis šo ievainojamību un savā emuārā paskaidro, ka tas ir vairāku faktoru rezultāts. Pirmkārt, Android tīmekļa pārlūks neinformē lietotāju par faila lejupielādi, tas tiek darīts automātiski. Izmantojot Java skriptu, šo failu var automātiski atvērt pārlūka rādīšanai. Kad vietējā kontekstā tiek atvērts HTML fails, Android pārlūks izpilda skriptu, par to nebrīdinot lietotāju. Tādā veidā Java skripts var nolasīt failu saturu un citus datus. Tad saturskuri ir izlasījuši Java skriptu, var tikt novirzīti uz ļaunprātīgu vietni.
Viens no šīs izmantošanas ierobežojumiem ir tas, ka jums jāzina to failu nosaukums un ceļš, kurus vēlaties nozagt. Tomēr vairākas SD kartes datu glabāšanas lietojumprogrammas piedāvā šo informāciju, un tiek parādīti SD kartē esošie faili (kā arī daži tālrunī). Tomass Kannons ir sazinājies ar Android drošības darbiniekiem, kuri strādā, lai novērstu ievainojamību 2.3 versijā (piparkūkas). Tikmēr Cannon piedāvā vairākus padomus, kā aizbāzt drošības caurumu.
Pirmais ir skatīties, vai notiek automātiska lejupielāde; pat ja paziņojuma nav, tas nenotiek pilnīgi klusi. Lietotājs var arī atspējot Java skriptus sava pārlūka iestatījumos. No otras puses, tāda pārlūkprogramma kā Opera Mobile piedāvā papildu aizsardzību, jo tā brīdina pirms faila lejupielādes. Ārējam uzņēmumam ir arī vieglāk nekavējoties izlaist pārlūka atjauninājumu, kas ielāpj jaunu ievainojamību, nekā to dara Google.
Citas ziņas par… Android, Google, Security
