Nettopp oppdaget en ny sårbarhet som generelt påvirker alle smarttelefoner med Android. Det gjør det mulig for et ondsinnet nettsted å få alle filene lagret på SD-minnekortet satt inn i mobiltelefonen. I tillegg etterlater denne sikkerhetsfeilen også andre data og filer som er lagret på mobiltelefonen ubeskyttet.
Sikkerhetsekspert Thomas Cannon har oppdaget denne sårbarheten og forklarer på bloggen sin at det er et resultat av en blanding av faktorer. Først og fremst varsler ikke Android-nettleseren brukeren når han laster ned en fil, den gjør det automatisk. Ved hjelp av et Java-skript kan denne filen åpnes automatisk slik at nettleseren kan vises. Når en HTML-fil åpnes i den lokale konteksten, utfører Android- nettleseren skriptet uten å varsle brukeren. På den måten kan Java-skriptet lese innholdet i filene og andre data. Deretter innholdetsom har lest Java-skriptet, kan omdirigeres til et ondsinnet nettsted.
En begrensning ved denne utnyttelsen er at du trenger å vite navnet og banen til filene du vil stjele. Imidlertid tilbyr flere SD-kort datalagringsapplikasjoner den informasjonen, og filene på SD-kortet (pluss noen få på telefonen) blir eksponert. Thomas Cannon har kontaktet Android- sikkerhetsansvarlige, som jobber med å fikse sårbarheten i versjon 2.3 (Gingerbread). I mellomtiden tilbyr Cannon flere tips for å plugge sikkerhetshullet.
Det første er å passe på om det oppstår automatisk nedlasting; selv om det ikke er noe varsel, skjer det ikke helt lydløst. Brukeren kan også deaktivere Java-skriptene i konfigurasjonen av nettleseren. På den annen side tilbyr en nettleser som Opera Mobile ekstra beskyttelse, fordi den advarer før du laster ned en fil. Det er også lettere for et eksternt selskap å umiddelbart gi ut en nettleseroppdatering som oppdaterer et nytt sikkerhetsproblem enn Google gjør.
Andre nyheter om… Android, Google, sikkerhet
