Pravkar odkril novo ranljivost, ki na splošno vpliva na vse pametne telefone z Androidom. Zlonamernemu spletnemu mestu omogoča, da vse datoteke, shranjene na pomnilniški kartici SD, vstavi v mobilni telefon. Poleg tega ta varnostna napaka pusti nezaščitene tudi druge podatke in datoteke, shranjene na mobilnem telefonu.
Strokovnjak za varnost Thomas Cannon je odkril to ranljivost in na svojem blogu pojasnjuje, da je posledica kombinacije dejavnikov. Prvič, spletni brskalnik Android uporabnika ob prenosu datoteke ne obvesti, temveč samodejno. S pomočjo skripta Java lahko to datoteko samodejno odprete za prikaz brskalnika. Ko se v tem lokalnem kontekstu odpre datoteka HTML, brskalnik Android izvede skript, ne da bi uporabnika opozoril. Tako lahko skript Java bere vsebino datotek in druge podatke. Nato vsebinaki so prebrali skript Java, se lahko preusmerijo na zlonamerno spletno mesto.
Ena od omejitev tega izkoriščanja je, da morate vedeti ime in pot datotek, ki jih želite ukrasti. Vendar več programov za shranjevanje podatkov na kartici SD ponuja te informacije in datoteke na kartici SD (in nekaj na telefonu) so izpostavljene. Thomas Cannon je stopil v stik z varnostniki Androida, ki si prizadevajo odpraviti ranljivost v različici 2.3 (Gingerbread). Medtem Cannon ponuja več nasvetov za zapiranje varnostne luknje.
Najprej je treba paziti, če pride do samodejnega prenosa; tudi če obvestila ni, se to ne zgodi povsem tiho. Uporabnik lahko tudi onemogoči skripte Java v nastavitvah svojega brskalnika. Po drugi strani pa brskalnik, kot je Opera Mobile, ponuja dodatno zaščito, ker pred prenosom datoteke opozori. Zunanje podjetje je tudi lažje takoj izdati posodobitev brskalnika, ki popravi novo ranljivost kot Google.
Ostale novice o… Androidu, Googlu, varnosti
