Управо сам открио нову рањивост која генерално погађа све паметне телефоне са Андроид-ом. Омогућава злонамерној веб локацији да све датотеке сачуване на СД меморијској картици убаци у мобилни телефон. Штавише, овај сигурносни квар такође оставља незаштићене друге податке и датотеке сачуване на мобилном телефону.
Стручњак за безбедност Тхомас Цаннон открио је ову рањивост и на свом блогу објашњава да је она резултат мешавине фактора. Пре свега, Андроид веб прегледач не обавештава корисника приликом преузимања датотеке, већ аутоматски. Користећи Јава скрипту, ова датотека се може аутоматски отворити да би се прегледач приказао. Када се ХТМЛ датотека отвори у том локалном контексту, Андроид прегледач извршава скрипту без упозорења корисника. На тај начин Јава скрипта може читати садржај датотека и друге податке. Затим садржајкоји су прочитали Јава скрипту могу бити преусмерени на злонамерну веб локацију.
Једно ограничење ове експлоатације је да морате знати име и пут датотека које желите да украдете. Међутим, неколико апликација за складиштење података на СД картици нуди те информације, а датотеке на СД картици (плус неколико на телефону) су изложене. Тхомас Цаннон је контактирао Андроид службенике безбедности који раде на отклањању рањивости у верзији 2.3 (Гингербреад). У међувремену, Цаннон нуди неколико савета за затварање сигурносне рупе.
Прва ствар је пазити да ли долази до аутоматског преузимања; чак и ако нема обавештења, то се не догађа потпуно тихо. Корисник такође може да онемогући Јава скрипте у оквиру подешавања свог прегледача. С друге стране, прегледач попут Опера Мобиле нуди додатну заштиту, јер упозорава пре преузимања датотеке. Поред тога, спољној компанији је лакше да одмах објави исправку прегледача која поправља нову рањивост него што то чини Гоогле.
Остале вести о… Андроиду, Гооглеу, безбедности
